GeoServer 服务端请求伪造&XXE 漏洞(CVE-2025-30220、CVE-2024-29198)预警
1、基本情况
GeoServer 是一款用 Java 编写的开源软件服务器,允许用户共享和编辑地理空间数据。
近日,监测发现 GeoServer 官方发布安全公告,修复了 GeoServer 服务端请求伪造和 XXE 漏洞。服务端请求伪造漏洞是由于该系统在未设置 PROXY_BASE_URL 时,允许未经身份验证的用户通过 Demo端点向服务器发起请求。这种不当配置使得攻击者能够利用 GeoServer 的功能来发送恶意请求到内部或外部网络中的其他服务器,从而导致服务器端请求伪造 (SSRF)。XXE 漏洞是由于 GeoTools 库使用Eclipse XSD 库来处理 XML 数据,并且未正确配置 EntityResolver,这导致了 XML 外部实体 (XXE) 漏洞。当 GeoServer 或 GeoNetwork 调用 GeoTools 库处理 XML 数据时,攻击者可以注入恶意的XML 实体,进而读取本地文件或发起其他攻击。
建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
XXE 漏洞
⚫ GeoServer: version<2.24.4 version<2.25.2
⚫ GeoServer: version<2.27.1,version<2.26.3,version<2.25.7
⚫ Geotools: version<33.1,version<32.3,version<31.7,version<28.6.1
⚫ geonetwork: version<4.4.8,version<4.2.13
服务端请求伪造漏洞
⚫ GeoServer: version<2.24.4 version<2.25.2
3、处置建议
目前这些漏洞已经修复,受影响用户可安装最新版本补丁。
下载地址:
https://github.com/geoserver/geoserver/releases
https://github.com/geotools/geotools/releases
https://github.com/geonetwork/core-geonetwork/releases
4、参考链接
1) https://github.com/geoserver/geoserver/security/advisories/GHSA-jj54-8f66-c5pc
2) https://github.com/geoserver/geoserver/security/advisories/GHSA-r4hf-r8gj-jgw2