GeoServer 维护者发布重要安全公告,指出存在一个 高严重性漏洞,未认证攻击者可利用该漏洞泄露敏感文件或崩溃服务器。受影响的 GeoServer 是一款广泛部署的开源 Java 服务器软件,用于共享和编辑地理空间数据。
该漏洞编号为 CVE-2025-58360,CVSS 评分为 8.2,属于 Web 地图服务(WMS)中的 XML 外部实体(XXE)缺陷。
漏洞成因与危害
漏洞源于服务器处理数据请求的方式。安全公告指出:“应用程序通过特定端点 /geoserver/wms 的 GetMap 操作接受 XML 输入”,而关键问题在于“输入未经过充分 sanitize 或限制,允许攻击者在 XML 请求中定义外部实体”。
XXE 攻击利用“配置不当的 XML 解析器”诱骗服务器处理恶意引用。成功利用后,对托管空间数据基础设施的组织可能造成严重后果:
- 读取服务器文件系统中的任意文件
- 发起服务器端请求伪造(SSRF),探测并与防火墙后的内部系统交互
- 执行拒绝服务(DoS)攻击,耗尽服务器资源
修复建议
运行 GeoServer 的系统管理员需 立即修补漏洞,可通过升级至以下最新安全版本解决:
- GeoServer 2.25.6
- GeoServer 2.26.3
- GeoServer 2.27.0
若未应用这些更新,“WMS GetMap”操作将持续暴露,攻击者可利用 XXE 漏洞“从服务器文件系统检索任意文件”。
发表评论
您还未登录,请先登录。
登录