Kritische XXE-Schwachstelle in GeoServer entdeckt
In GeoServer wurde eine schwerwiegende Sicherheitslücke (CVE-2025-58360) bekannt, die einen unauthentifizierten XML External Entity (XXE) Angriff über das WMS-GetMap-Feature ermöglicht. Betroffen sind die Versionen ab 2.26.0 bis 2.26.1 sowie alle Versionen unter 2.25.6. Über manipulierte XML-Requests können Angreifer externe Entities einbinden und so beliebige Dateien vom Server auslesen, SSRF-Angriffe durchführen oder durch Ressourcenverbrauch einen DoS auslösen.
Die Schwachstelle wurde als kritisch eingestuft und wird wahrscheinlich bereits aktiv ausgenutzt
Sichere Versionen:
GeoServer 2.25.6, 2.26.3 oder 2.27.0.
Organisationen, die GeoServer einsetzen, sollten umgehend aktualisieren, um mögliche Datenabflüsse oder interne Netzwerkscans zu verhindern.