Μια επείγουσα προειδοποίηση για ένα κρίσιμο ελάττωμα ασφαλείας στον OSGeo GeoServer, έναν ευρέως χρησιμοποιούμενο διακομιστή κοινής χρήσης γεωγραφικών δεδομένων ανοιχτού κώδικα.
Η CISA έχει προσθέσει την ευπάθεια στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV), υποδεικνύοντας ότι οι φορείς απειλών αξιοποιούν ενεργά αυτό το ελάττωμα μηδενικής ημέρας σε επιθέσεις που στοχεύουν τόσο τον δημόσιο όσο και τον ιδιωτικό τομέα.
Η ευπάθεια που αποκαλύφθηκε πρόσφατα, η οποία παρακολουθείται ως CVE-2025-58360, ταξινομείται ως ακατάλληλος περιορισμός της αναφοράς εξωτερικής οντότητας XML (XXE).
Αυτό το κενό ασφαλείας υπάρχει στον χειρισμό της εισαγωγής XML από την εφαρμογή. Συγκεκριμένα περιλαμβάνει το τελικό σημείο /geoserver/wms κατά τις λειτουργίες GetMap.
| Πεδίο | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-58360 |
| Ονομα | Ευπάθεια OSGeo GeoServer XXE |
| Περιγραφή | Είσοδος XML /geoserver/wms Το GetMap δεν είναι σωστά περιορισμένο, επιτρέποντας εξωτερικές οντότητες XML. |
| Σχετικό CWE | CWE-611 |
| Δράση | Εφαρμόστε διορθώσεις προμηθευτών, ακολουθήστε το BOD 22-01 για υπηρεσίες cloud ή σταματήστε να χρησιμοποιείτε το προϊόν. |
Οι ερευνητές ασφαλείας έχουν διαπιστώσει ότι το λογισμικό αποτυγχάνει να περιορίσει σωστά τις εξωτερικές οντότητες σε αιτήματα XML.
Με την εκμετάλλευση αυτής της αδυναμίας, οι απομακρυσμένοι εισβολείς μπορούν να ορίσουν κακόβουλες εξωτερικές οντότητες στα αιτήματά τους. Η επιτυχής εκμετάλλευση θα μπορούσε να επιτρέψει σε μη εξουσιοδοτημένους φορείς να προβάλλουν αρχεία στον διακομιστή.
Αλληλεπιδράστε με συστήματα υποστήριξης ή εξωτερικά συστήματα (Πλαστογραφία αιτήματος από την πλευρά του διακομιστή) ή προκαλέστε συνθήκες άρνησης υπηρεσίας.
Η επιβεβαίωση της ενεργητικής εκμετάλλευσης ώθησε την CISA να παρέμβει, απαιτώντας από τις ομοσπονδιακές υπηρεσίες της μη στρατιωτικής εκτελεστικής εξουσίας (FCEB) να εξασφαλίσουν αμέσως τα συστήματά τους.
Σύμφωνα με τη Δεσμευτική Επιχειρησιακή Οδηγία (BOD) 22-01, η CISA έχει δώσει εντολή σε όλες τις υπηρεσίες της FCEB να εντοπίσουν και να μετριάσουν αυτήν την ευπάθεια έως την 1η Ιανουαρίου 2026.
Ενώ η εντολή ισχύει μόνο για ομοσπονδιακούς οργανισμούς, η CISA προτρέπει σθεναρά όλους τους οργανισμούς που χρησιμοποιούν το OSGeo GeoServer να δώσουν προτεραιότητα σε αυτήν την ενημέρωση.
Το σύντομο παράθυρο αποκατάστασης αντικατοπτρίζει τη σοβαρότητα της απειλής και την ενεργό φύση των τρεχουσών εκστρατειών. Συνιστάται στους διαχειριστές να εφαρμόζουν αμέσως τους σχετικούς μετριασμούς του προμηθευτή.
Εάν οι ενημερώσεις κώδικα δεν είναι ακόμη διαθέσιμες για συγκεκριμένες διαμορφώσεις, οι οργανισμοί θα πρέπει να ακολουθήσουν της CISA καθοδήγηση για υπηρεσίες cloud. Εξετάστε το ενδεχόμενο να διακόψετε προσωρινά τη χρήση του επηρεαζόμενου προϊόντος μέχρι να ασφαλιστεί.
