CISA 紧急警告：GeoServer 高危 XXE 漏洞正被积极利用，可致数据泄露与系统瘫痪

技术摘要

美国网络安全与基础设施安全局 (CISA) 已将影响 OSGeo GeoServer 的高严重性安全漏洞添加至其“已知被利用漏洞 (KEV)”目录，这是基于该漏洞在现实攻击中被积极利用的证据[citation:2]。

该漏洞编号为 CVE-2025-58360 (CVSS 评分为 8.2)，属于一处未经验证的 XML 外部实体 (XXE) 漏洞[citation:2]。该漏洞源于 GeoServer 的特定端点 /geoserver/wms 在其 GetMap 操作中接受 XML 输入时，未能对外部实体引用进行充分的限制[citation:2]。攻击者可以通过构造恶意的 XML 载荷来利用此漏洞，从而可能实现以下攻击[citation:2]：

• 读取服务器文件系统上的任意文件。

• 进行 服务器端请求伪造 (SSRF)，以探测并与防火墙后的内部系统交互。

• 通过耗尽服务器资源发起 拒绝服务 (DoS) 攻击。

该漏洞已被确认为可远程利用，且攻击时无需任何身份验证凭证[citation:1][citation:9]。

影响范围

受影响版本

此漏洞影响以下版本的 GeoServer[citation:2]：

• 所有 低于 2.25.6 的版本 (包括 2.25.5 及之前版本)。

• 版本 2.26.0 至 2.26.1。

受影响软件包

漏洞影响以下软件包分发[citation:2]：

• Docker 镜像：docker.osgeo.org/geoserver
  

• Maven 包：org.geoserver.web:gs-web-app 与 org.geoserver:gs-wms
  

修复版本

官方已发布安全补丁，修复包含在以下版本中[citation:1][citation:9]：

• GeoServer 2.25.6

• GeoServer 2.26.2

• GeoServer 2.27.0

• GeoServer 2.28.0

背景与现状

• 活跃利用：CISA 和加拿大网络安全中心均已确认，针对 CVE-2025-58360 漏洞的利用程序已在现实中出现[citation:2]。这也是 CISA 将其加入 KEV 目录的直接原因。

• 历史关联：此次曝光的漏洞并非 GeoServer 首次遭遇重大威胁。在过去一年中，另一个 GeoServer 关键漏洞（CVE-2024-36401，CVSS 评分 9.8）已被多个威胁攻击者利用[citation:2][citation:10]。此次事件表明，针对该地理空间数据服务器的攻击呈现持续性。

• 资产规模：根据奇安信鹰图资产测绘平台的数据，与此漏洞关联的全球风险资产总数超过 21,000 个，关联 IP 地址超过 840 个，影响范围广泛[citation:1]。

潜在影响与风险

• 数据泄露：成功利用此漏洞可能导致敏感的地理空间数据和内部网络信息被未经授权披露[citation:1][citation:2]。这可能暴露关键基础设施布局、环境数据或专有商业智能。

• 网络渗透：攻击者利用 SSRF 能力可能从受感染的 GeoServer 实例横向移动到内部网络，从而升级对其他系统的攻击[citation:2]。

• 服务中断：DoS 攻击可能扰乱依赖地理空间服务的应急响应、交通管理等关键业务[citation:2]。

• 监管风险：对于欧洲的组织而言，若因此漏洞导致个人或敏感数据泄露，可能面临欧盟《通用数据保护条例》（GDPR）下的监管后果[citation:2]。

缓解与修复建议

1. 立即升级：这是最根本的解决措施。请将所有 GeoServer 实例立即升级至已修复的版本（2.25.6、2.26.2 或更高版本）[citation:1][citation:9]。

2. 网络访问控制：使用网络分段、防火墙或 Web 应用防火墙 (WAF) 策略，严格限制对 /geoserver/wms 端点的访问，仅允许受信任的用户和系统访问[citation:2]。

3. 强化 XML 解析：在可能的情况下，通过配置 XML 解析器禁用外部实体处理，并实施严格的输入验证[citation:2]。

4. 加强监控：密切监控 GeoServer 的访问日志和网络流量，留意异常的 XML 载荷或针对内部资源的 SSRF 尝试[citation:2]。

5. 验证与测试：对涉及 GeoServer 端点的系统进行内部漏洞扫描和渗透测试，以验证修复措施是否有效[citation:2]。

6. 遵循官方时限：对于美国联邦文职行政部门机构，CISA 建议在 2026 年 1 月 1 日 前应用所需的修复程序[citation:2]。

结论

CVE-2025-58360 是一个具有高风险且已被证实在真实网络环境中被利用的漏洞。鉴于 GeoServer 在政府、环境和商业应用中的关键作用，其面临的数据泄露和业务中断风险不容忽视。强烈建议所有运行受影响版本 GeoServer 的组织立即采取上述行动，优先进行版本升级和访问控制，以保护其地理空间数据资产和底层基础设施。aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7BIUbk0tzjJBSfkiLT5AQYSrcDpyT+pA+W/rxodl+T/pTq94cKb824tgqGUPNCwY3ImSFaPYsoSb2x18AZOaLS6 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享