文章总结: 本文档详细介绍了GeoServerXML外部实体注入漏洞CVE-2025-58360。该漏洞位于/geoserver/wms端点的GetMap操作处,攻击者可利用恶意XML读取敏感信息或造成拒绝服务。影响版本包括小于2.25.6及2.26.0至2.26.2。目前POC已公开,建议用户立即更新至安全版本以修复漏洞。 综合评分: 80 文章分类: 漏洞分析,漏洞预警,WEB安全,漏洞POC
【已复现】GeoServer XML外部实体注入漏洞(CVE-2025-58360)
原创
Cupid
千寻安服
2025年11月26日 14:42 四川
内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的POC信息及POC对应脚本而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号千寻安服及作者不为此承担任何责任,一旦造成后果请自行承担!
>>>>
影响组件
GeoServer是一款开源的服务器,用于共享和编辑地理空间数据。它支持多种地图和数据标准,如WMS、WFS、WCS等,广泛应用于地理信息系统(GIS)领域,帮助用户发布和管理地理数据。
>>>>
漏洞描述
近日,监测到官方修复GeoServer XML外部实体注入漏洞(CVE-2025-58360),该漏洞源于 /geoserver/wms 端点的 GetMap 操作在接收 XML 请求时未对外部实体引用进行充分限制。攻击者可以利用该漏洞,通过构造恶意的XML 数据注入外部实体,从而读取服务器上的敏感信息或导致拒绝服务。目前该漏洞PoC已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
>>>>
影响版本
GeoServer < 2.25.62.26.0 <= GeoServer < 2.26.2
>>>>
复现过程
利用如下所示:
处置建议>>>>
安全更新
官方已发布安全补丁,请及时更新至最新版本:
GeoServer 2.25.* >= 2.25.6
GeoServer 2.26.* >= 2.26.2
GeoServer >= 2.27.0
GeoServer >= 2.28.0
下载地址:
https://github.com/geoserver/geoserver/releases
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:千寻安服 Cupid《【已复现】GeoServer XML外部实体注入漏洞(CVE-2025-58360)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论