一、漏洞概要

漏洞名称	GeoServerXML外部实体注入漏洞(CVE-2025-58360)
发布时间	2025年11月26日
组件名称	OpenSourceGeospatial-GeoServer
影响范围	GeoServer<2.25.6 2.26.0≤GeoServer<2.26.2
漏洞类型	XML外部实体注入（XXE）
利用条件	1、用户认证：无需用户认证 2、前置条件：默认配置 3、触发方式：远程
综合评价	<综合评定利用难度>：容易，无需授权即可读取任意文件。 <综合评定威胁等级>：高危，可读取服务器敏感文件。
官方解决方案	已发布

二、漏洞分析

GeoServer是一个用Java编写的开源服务器，它允许用户共享、处理和编辑地理空间数据。为了互操作性而设计，它使用开源标准发布来自任何主要空间数据源的数据

2025年11月26日，深瞳漏洞实验室监测到一则OpenSourceGeospatial-GeoServer组件存在XML外部实体注入（XXE）漏洞的信息，漏洞编号：CVE-2025-58360，漏洞威胁等级：高危。

GeoServer存在XML外部实体注入漏洞，攻击者可通过WMS（WebMapService）服务的GetMap接口，构造恶意XML请求触发漏洞，实现读取服务器任意文件、发起服务端请求伪造等攻击。

目前受影响的OpenSourceGeospatial-GeoServer版本：

GeoServer<2.25.6

2.26.0≤GeoServer<2.26.2

官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户将GeoServe更新到最新版本。