GeoServer未授权XXE漏洞CVE-2025-58360

GeoServer 是一款基于 Java 开发、遵循 OGC（开放地理空间联盟）标准的开源地理信息服务器，其主要用于共享和编辑地理空间数据。

一、基本情况

GeoServer 是一款广泛部署开源 Java 服务器软件，由非营利组织 Open Planning Project 发起，后加入开源地理空间基金会（OSGeo）。

GeoServer 项目能够与所有符合 OGC 标准的 GIS 客户端和服务无缝互操作，比如可对接 QGIS 桌面软件、OpenLayers 网页地图库等。

栋科技漏洞库关注到 GeoServer 受影响版本中存在一个XML外部实体（XXE）漏洞，漏洞被追踪为CVE-2025-58360，CVSS 3.X评分9.8。

二、漏洞分析

CVE-2025-58360漏洞是位于 GeoServer 在版本2.26.0至版本低于2.26.2和低于2.25.6之间，该产品中存在的XML外部实体（XXE）漏洞。

该漏洞属于 Web 地图服务（WMS）中的 XML 外部实体（XXE）缺陷，这使未认证攻击者可以利用该漏洞泄露敏感文件或崩溃服务器。

漏洞源于服务器处理数据请求的方式，该应用程序通过特定的端点 /geoserver/wms 操作GetMap接受XML输入，

但是，关键问题在于此输入没有得到充分的 sanitize 或限制，允许攻击者在XML请求中定义外部实体。

XXE漏洞可用于从服务器的文件系统中检索任意文件，XXE 攻击利用“配置不当的 XML 解析器”诱骗服务器处理恶意引用。

XML外部实体攻击是一种攻击，当配置较弱的XML解析器处理包含对外部实体的引用的XML输入时，就会发生这种攻击。

这种攻击可能会导致机密数据泄露、拒绝服务、从解析器所在机器的角度进行端口扫描以及其他系统影响。

该漏洞是使用XBOW检测到的，XBOW是一个自动发现并利用潜在安全漏洞的系统，在提交前该发现已经安全研究人员彻底审查和验证。

三、影响范围

GeoServer < 2.26.0

GeoServer < 2.26.2

GeoServer < 2.25.6

四、修复建议

GeoServer >= 2.25.6

GeoServer >= 2.26.3

GeoServer >= 2.27.0

五、参考链接

https://github.com/geoserver/geoserver/security/advisories/GHSA-fjf5-xgmq-5525    

https://osgeo-org.atlassian.net/powse/GEOS-11682