Kritische XXE-Schwachstelle in GeoServer entdeckt

In GeoServer wurde eine schwerwiegende Sicherheitslücke (CVE-2025-58360) bekannt, die einen unauthentifizierten XML External Entity (XXE) Angriff über das WMS-GetMap-Feature ermöglicht. Betroffen sind die Versionen ab 2.26.0 bis 2.26.1 sowie alle Versionen unter 2.25.6. Über manipulierte XML-Requests können Angreifer externe Entities einbinden und so beliebige Dateien vom Server auslesen, SSRF-Angriffe durchführen oder durch Ressourcenverbrauch einen DoS auslösen.

Die Schwachstelle wurde als kritisch eingestuft und wird wahrscheinlich bereits aktiv ausgenutzt

Sichere Versionen:
GeoServer 2.25.6, 2.26.3 oder 2.27.0.

Organisationen, die GeoServer einsetzen, sollten umgehend aktualisieren, um mögliche Datenabflüsse oder interne Netzwerkscans zu verhindern.

Related Posts

Bundestagspolizei warnt vor verdächtigen USB-Sticks an Abgeordnete

Mehrere Bundestagsabgeordnete haben in dieser Woche ungefragt USB-Sticks samt englischsprachigem Anschreiben per Post erhalten, so berichtet die Welt. Die Bundestagspolizei warnte daraufhin alle Fraktionen eindringlich davor, die Datenträger anzuschließen, und forderte dazu auf, sie in einem gesonderten Umschlag zurückzusenden.

Read More

Docker: runc-Schwachstellen ermöglichen Container-Escape

Drei neue Sicherheitslücken im Container-Runtime-Tool runc (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) ermöglichen unter bestimmten Bedingungen den Ausbruch aus Containern und potenziell Root-Zugriff auf das Host-System. Die von einem SUSE-Forscher entdeckten Schwachstellen betreffen Docker-, Kubernetes- und andere runc-basierte Plattformen.

Read More

Kritische ASN.1-Validierungslücke in node-forge ermöglicht Signatur-Bypass

In der beliebten Kryptobibliothek node-forge wurde eine schwerwiegende Schwachstelle (CVE-2025-12816) entdeckt, die alle Versionen vor 1.3.2 betrifft. Die Lücke – ein Interpretation Conflict im ASN.1-Validator – erlaubt es entfernten, nicht authentifizierten Angreifern, speziell manipulierte ASN.1-Strukturen einzuschleusen und die interne Schema-Validierung zu „desynchronisieren“. Dadurch können sicherheitskritische Felder wie digitale Signaturen, MACs oder Integritätsprüfungen fehlerhaft interpretiert oder komplett übergangen werden.

Read More