一、基本情况
GeoServer是一款开源的服务器,用于共享和编辑地理空间数据。
二、漏洞描述
近日,官方修复GeoServer XML外部实体注入漏洞(CVE-2025-58360),该漏洞源于/geoserver/wms端点的GetMap操作在接收XML请求时未对外部实体引用进行充分限制。攻击者可以利用该漏洞,通过构造恶意的XML数据注入外部实体,从而读取服务器上的敏感信息或导致拒绝服务。
三、影响范围
GeoServer < 2.25.6
2.26.0 <= GeoServer < 2.26.2
四、修复建议
目前官方已发布安全更新,建议用户尽快升级至最新版本。
GeoServer 2.25.* >= 2.25.6
GeoServer 2.26.* >= 2.26.2
GeoServer >= 2.27.0
GeoServer >= 2.28.0
