一、漏洞详情
GeoServer是一款开源的服务器,用于共享和编辑地理空间数据。
近日,监测到官方修复GeoServer XML外部实体注入漏洞(CVE-2025-58360),该漏洞源于/geoserver/wms 端点的 GetMap 操作在接收 XML 请求时未对外部实体引用进行充分限制。攻击者可以利用该漏洞,通过构造恶意的XML数据注入外部实体,从而读取服务器上的敏感信息或导致拒绝服务。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
GeoServer < 2.25.6
2.26.0 <= GeoServer < 2.26.2
三、修复建议
目前官方已发布安全更新,建议用户尽快升级至最新版本。
GeoServer 2.25.* >= 2.25.6
GeoServer 2.26.* >= 2.26.2
GeoServer >= 2.27.0
GeoServer >= 2.28.0
