【已复现】GeoServerXML外部实体注入漏洞(CVE-2025-58360)

admin 2025-12-25 02:58:27 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文档详细介绍了GeoServerXML外部实体注入漏洞CVE-2025-58360。该漏洞位于/geoserver/wms端点的GetMap操作处,攻击者可利用恶意XML读取敏感信息或造成拒绝服务。影响版本包括小于2.25.6及2.26.0至2.26.2。目前POC已公开,建议用户立即更新至安全版本以修复漏洞。 综合评分: 80 文章分类: 漏洞分析,漏洞预警,WEB安全,漏洞POC


cover_image

【已复现】GeoServer XML外部实体注入漏洞(CVE-2025-58360)

原创

Cupid

千寻安服

2025年11月26日 14:42 四川

内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的POC信息及POC对应脚本而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号千寻安服及作者不为此承担任何责任,一旦造成后果请自行承担!

>>>>

影响组件

GeoServer是一款开源的服务器,用于共享和编辑地理空间数据。它支持多种地图和数据标准,如WMS、WFS、WCS等,广泛应用于地理信息系统(GIS)领域,帮助用户发布和管理地理数据。

>>>>

漏洞描述

近日,监测到官方修复GeoServer XML外部实体注入漏洞(CVE-2025-58360),该漏洞源于 /geoserver/wms 端点的 GetMap 操作在接收 XML 请求时未对外部实体引用进行充分限制。攻击者可以利用该漏洞,通过构造恶意的XML 数据注入外部实体,从而读取服务器上的敏感信息或导致拒绝服务。目前该漏洞PoC已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

>>>>

影响版本

GeoServer < 2.25.62.26.0 <= GeoServer < 2.26.2

>>>>

复现过程

利用如下所示:

处置建议>>>>

安全更新

官方已发布安全补丁,请及时更新至最新版本:

GeoServer 2.25.* >= 2.25.6

GeoServer 2.26.* >= 2.26.2

GeoServer >= 2.27.0

GeoServer >= 2.28.0

下载地址:

https://github.com/geoserver/geoserver/releases


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:千寻安服 Cupid《【已复现】GeoServer XML外部实体注入漏洞(CVE-2025-58360)》

评论:0   参与:  3