【漏洞预警】GeoServer /geoserver/wms GetMap XML 外部实体注入漏洞（CVE-2025-58360）

匿名者 9分钟前

漏洞名称：GeoServer /geoserver/wms GetMap xm l 外部实体注入漏洞（CVE-2025-58360）

风险等级：

高风险

漏洞描述：

GeoServer是一个开源的地理空间数据服务器，允许用户共享和编辑地理空间数据。作为开源地理信息系统(GIS)领域的重要组件，GeoServer广泛应用于政府机构、科研院所、企业等各类组织的地理信息系统建设中。该服务器支持多种地理数据格式，提供Web地图服务(WMS)、Web要素服务(WFS)等标准化服务接口，是构建现代GIS应用架构的核心基础设施之一。

该漏洞源于 /geoserver/wms 端点的 GetMap 操作在接收 xm l 请求时未对外部实体引用进行充分限制。攻击者可以利用该漏洞，通过构造恶意的 xm l 数据注入外部实体，从而读取服务器上的敏感信息或导致拒绝服务。目前该漏洞PoC已公开。鉴于该漏洞利用难度极低且影响范围较大，建议客户尽快做好自查及防护。

FOFA自检语句：

app="GeoServer"

受影响版本：

GeoServer < 2.25.6、2.26.0 <= GeoServer < 2.26.2

临时修复方案：

官方已发布安全补丁，请及时更新至最新版本：

GeoServer 2.25.* >= 2.25.6

GeoServer 2.26.* >= 2.26.2

GeoServer >= 2.27.0

GeoServer >= 2.28.0

下载地址：

https://github.com/geoserver/geoserver/releases