Plateforme
java
Composant
org.geoserver.web:gs-web-app
Corrigé dans
2.27.1
2.26.1
2.25.8
2.27.1
Une vulnérabilité d'injection XXE (XML External Entity) a été découverte dans le service Web Feature Service (WFS) de GeoServer, résultant de l'utilisation de la bibliothèque GeoTools. Cette faille permet à un attaquant de déclencher l'analyse d'entités et de DTD externes, contournant les restrictions standard. Les versions concernées sont celles inférieures ou égales à 2.27.0. Une correction est disponible dans la version 2.27.1.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exfiltrer des données hors bande (OOB) en accédant à des fichiers locaux accessibles par le processus GeoServer. De plus, elle ouvre la voie à des attaques de falsification de requêtes côté serveur (SSRF), permettant potentiellement à l'attaquant d'interagir avec des ressources internes au nom du serveur GeoServer. Bien que la résolution d'entités soit normalement gérée par une liste blanche de propriétés d'application, cette restriction n'était pas appliquée par la bibliothèque GeoTools, ce qui a créé la vulnérabilité. Cette situation est similaire à d'autres vulnérabilités XXE où l'absence d'une validation appropriée des entrées XML permet l'exécution de code arbitraire ou l'accès à des données sensibles.
Cette vulnérabilité a été publiée le 10 juin 2025. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la complexité de la configuration d'une attaque XXE et de la nécessité d'accéder au service WFS. Il n'y a pas d'indicateurs d'exploitation active à ce jour, mais la disponibilité d'une preuve de concept (PoC) publique pourrait augmenter le risque. Cette vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Organizations utilizing GeoServer for geospatial data serving, particularly those with publicly accessible WFS endpoints, are at risk. Environments with legacy GeoServer configurations or those lacking robust network segmentation are especially vulnerable. Shared hosting environments where multiple users share the same GeoServer instance also face increased risk.
• linux / server:
journalctl -u geoserver -g "XML External Entity"• java / supply-chain:
Inspect GeoServer configuration files for any custom XML parsing configurations that might bypass entity resolution restrictions.
• generic web:
Use curl to test WFS endpoints with specially crafted XML payloads containing external entity references. Monitor response headers for signs of OOB data exfiltration (e.g., DNS requests to unexpected domains).
disclosure
added to KEV
Statut de l'Exploit
EPSS
8.39% (percentile 92%)
CISA SSVC
Vecteur CVSS
Exploitation détectée
NextGuard a enregistré des indicateurs d'exploitation active dans les flux publics.
La mitigation principale consiste à mettre à jour GeoServer vers la version 2.27.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, il est recommandé de désactiver temporairement le service WFS ou de restreindre l'accès à celui-ci. En outre, configurez correctement la propriété ENTITYRESOLUTIONALLOWLIST pour limiter les entités XML autorisées. Il est également possible de mettre en place des règles de pare-feu d'application web (WAF) pour bloquer les requêtes malveillantes contenant des entités XML externes. Surveillez les journaux d'accès et d'erreurs pour détecter les tentatives d'exploitation de cette vulnérabilité.
Mettez à jour GeoTools vers la version 33.1, 32.3, 31.7 ou 28.6.1 ou supérieure. Si vous utilisez GeoServer, mettez à jour vers la version 2.27.1, 2.26.3 ou 2.25.7 ou supérieure. Si vous utilisez GeoNetwork, mettez à jour vers la version 4.4.8 ou 4.2.13 ou supérieure. Cela corrige la vulnérabilité XXE dans le traitement des schémas XSD.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-30220 est une vulnérabilité d'injection XXE dans le service Web Feature Service (WFS) de GeoServer, permettant l'exfiltration de données et des attaques SSRF.
Vous êtes affecté si vous utilisez GeoServer avec une version inférieure ou égale à 2.27.0 et que vous exposez le service WFS.
Mettez à jour GeoServer vers la version 2.27.1 ou supérieure. En attendant, désactivez le service WFS ou configurez correctement la propriété ENTITYRESOLUTIONALLOWLIST.
À ce jour, il n'y a pas d'indicateurs d'exploitation active, mais la disponibilité d'une preuve de concept (PoC) publique pourrait augmenter le risque.
Consultez le site web de GeoServer pour obtenir les dernières informations et les avis de sécurité : [https://www.geoserver.org/](https://www.geoserver.org/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.