CISA cảnh báo về lỗ hổng XXE đang bị khai thác trên GeoServer trong danh mục KEV

[T-X]

Hôm thứ Năm, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến OSGeo GeoServer vào danh mục Các lỗ hổng đã bị khai thác ( KEV ) của mình, dựa trên bằng chứng về việc khai thác tích cực trong thực tế.

Lỗ hổng được đề cập là CVE-2025-58360 (điểm CVSS: 8.2), một lỗi XML External Entity ( XXE ) không cần xác thực, ảnh hưởng đến tất cả các phiên bản trước và bao gồm phiên bản 2.25.5, và từ phiên bản 2.26.0 đến 2.26.1. Lỗ hổng này đã được vá trong các phiên bản 2.25.6, 2.26.2, 2.27.0, 2.28.0 và 2.28.1. Nền tảng phát hiện lỗ hổng dựa trên trí tuệ nhân tạo (AI) XBOW đã được ghi nhận vì đã báo cáo vấn đề này.

CISA cho biết: "OSGeo GeoServer chứa lỗ hổng tham chiếu thực thể bên ngoài XML do hạn chế không đúng cách, xảy ra khi ứng dụng chấp nhận đầu vào XML thông qua thao tác GetMap tại điểm cuối cụ thể /geoserver/wms và có thể cho phép kẻ tấn công định nghĩa các thực thể bên ngoài trong yêu cầu XML."

Các gói phần mềm sau đây bị ảnh hưởng bởi lỗi này:

      Đăng nhập để xem liên kết
    org.geoserver.web:gs-web-app (Maven)
    org.geoserver:gs-wms (Maven)

Theo cảnh báo được các nhà phát triển phần mềm mã nguồn mở công bố vào cuối tháng trước, việc khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công truy cập vào các tệp tùy ý từ hệ thống tệp của máy chủ, thực hiện tấn công giả mạo yêu cầu phía máy chủ (SSRF) để tương tác với các hệ thống nội bộ hoặc phát động tấn công từ chối dịch vụ (DoS) bằng cách làm cạn kiệt tài nguyên.

Hiện chưa có thông tin chi tiết nào về cách lỗ hổng bảo mật này bị lợi dụng trong các cuộc tấn công thực tế. Tuy nhiên, một bản tin từ Trung tâm An ninh mạng Canada ngày 28 tháng 11 năm 2025 cho biết "một lỗ hổng khai thác CVE-2025-58360 đã tồn tại trong thực tế".

Cần lưu ý rằng một lỗ hổng nghiêm trọng khác trong cùng phần mềm (CVE-2024-36401, điểm CVSS: 9.8) đã bị nhiều đối tượng tấn công khai thác trong năm qua. Các cơ quan thuộc nhánh hành pháp dân sự liên bang (FCEB) được khuyến cáo áp dụng các bản vá cần thiết trước ngày 1 tháng 1 năm 2026 để bảo mật mạng lưới của họ.