GeoServer GetMap XXE 注入漏洞(CVE-2025-58360)预警
1、基本情况
GeoServer 是一款开源的地理数据服务器,用于共享、编辑和发布地理空间数据,支持多种标准地图服务协议。
近日,监测发现 GeoServer 官方修复了 GeoServer GetMap XXE注入漏洞(CVE-2025-58360),该漏洞源于 GeoServer 处理 XML 输入时,未对其外部实体进行充分限制,从而造成 XXE 注入漏洞。
鉴于该漏洞影响范围较大,建议广大用户尽快做好自查及防护。
2、影响范围
受影响版本
⚫ 2.26.0 <= version < 2.26.2
⚫ version < 2.25.6
3、处置建议
官方已发布安全补丁,请及时升级至最新版本。
下载地址:https://github.com/geoserver/geoserver/security/advisories/GHSA-fjf5-xgmq-5525
4、参考链接
1) https://github.com/geoserver/geoserver/security/advisories/GHSA-fjf5-xgmq-5525