CISA Cảnh báo Lỗ hổng XXE trên GeoServer Đang bị Khai thác trong Danh mục KEV Cập nhật

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vào thứ Năm đã bổ sung một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến OSGeo GeoServer vào danh mục Các lỗ hổng đã bị Khai thác (KEV) của mình, dựa trên bằng chứng về việc bị khai thác tích cực trên thực tế. Lỗ hổng được đề cập là CVE-2025-58360 (điểm CVSS: 8.2), một lỗ hổng XML External Entity (XXE) không yêu cầu xác thực, ảnh hưởng đến tất cả các phiên bản trước.
Máy chủ GeoServer bị khai thác
Hình ảnh minh họa cho lỗ hổng GeoServer

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vào thứ Năm đã bổ sung một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến OSGeo GeoServer vào danh mục Các lỗ hổng đã bị Khai thác (KEV) của mình, dựa trên bằng chứng về việc bị khai thác tích cực trên thực tế.

Lỗ hổng được đề cập là CVE-2025-58360 (điểm CVSS: 8.2), một lỗ hổng XML External Entity (XXE) không yêu cầu xác thực, ảnh hưởng đến tất cả các phiên bản trước và bao gồm 2.25.5, và từ phiên bản 2.26.0 đến 2.26.1. Nó đã được vá trong các phiên bản 2.25.6, 2.26.2, 2.27.0, 2.28.0, và 2.28.1. Nền tảng phát hiện lỗ hổng dựa trên trí tuệ nhân tạo (AI) XBOW đã được ghi nhận vì đã báo cáo vấn đề này.

"OSGeo GeoServer chứa một lỗ hổng hạn chế không đúng cách tham chiếu thực thể XML bên ngoài xảy ra khi ứng dụng chấp nhận đầu vào XML thông qua một điểm cuối cụ thể là hoạt động /geoserver/wms GetMap và có thể cho phép kẻ tấn công định nghĩa các thực thể bên ngoài trong yêu cầu XML," CISA cho biết.

Các gói sau bị ảnh hưởng bởi lỗ hổng:

  • docker.osgeo.org/geoserver
  • org.geoserver.web:gs-web-app (Maven)
  • org.geoserver:gs-wms (Maven)

Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công truy cập các tệp tùy ý từ hệ thống tệp của máy chủ, thực hiện Server-Side Request Forgery (SSRF) để tương tác với các hệ thống nội bộ, hoặc khởi động một cuộc tấn công từ chối dịch vụ (DoS) bằng cách làm cạn kiệt tài nguyên, những người bảo trì phần mềm mã nguồn mở đã cho biết trong một cảnh báo được công bố vào cuối tháng trước.

Hiện tại không có thông tin chi tiết về cách lỗi bảo mật này đang bị lạm dụng trong các cuộc tấn công thực tế. Tuy nhiên, một bản tin từ Trung tâm An ninh mạng Canada vào ngày 28 tháng 11 năm 2025, đã cho biết "một exploit cho CVE-2025-58360 tồn tại trong tự nhiên."

Đáng chú ý là một lỗ hổng nghiêm trọng khác trong cùng phần mềm (CVE-2024-36401, điểm CVSS: 9.8) đã bị khai thác bởi nhiều tác nhân đe dọa trong năm qua. Các cơ quan thuộc Chi nhánh Hành pháp Dân sự Liên bang (FCEB) được khuyến nghị áp dụng các bản sửa lỗi cần thiết trước ngày 1 tháng 1 năm 2026, để bảo mật mạng của họ.

Thẻ liên quan
#CISA #GeoServer #XXE #CVE-2025-58360 #KEV #Cybersecurity #Lỗ hổng bảo mật