HIGHCVE-2025-30220CVSS 8.2

[XBOW-025-068] GeoServer WFS サービスにおける XML External Entity (XXE) 処理の脆弱性

Q: CVE-2025-30220 — XXEインジェクションはGeoServer Web Feature Serviceで何ですか？

CVE-2025-30220は、GeoServer WFSサービスにおけるXML External Entity (XXE)インジェクション脆弱性です。攻撃者はこの脆弱性を悪用して、ローカルファイルへのアクセスやSSRF攻撃を実行できる可能性があります。

Q: CVE-2025-30220はGeoServer Web Feature Serviceで影響を受けますか？

はい、GeoServer Web Feature Serviceのバージョン2.27.0以前がこの脆弱性の影響を受けます。

Q: CVE-2025-30220はGeoServer Web Feature Serviceでどのように修正しますか？

GeoServerをバージョン2.27.1以降にアップグレードすることを推奨します。アップグレードが困難な場合は、XML解析におけるエンティティ解決の許可リストを適切に設定してください。

Q: CVE-2025-30220に関するGeoServerの公式アドバイザリはどこで入手できますか？

GeoServerの公式アドバイザリは、GeoServerのウェブサイトで確認できます。

プラットフォーム

java

コンポーネント

org.geoserver.web:gs-web-app

修正版

2.27.1

2.26.1

2.25.8

2.27.1

AI Confidence: highNVDEPSS 8.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-30220は、GeoServer Web Feature Service (WFS)においてXML External Entity (XXE)インジェクション脆弱性が確認されています。この脆弱性を悪用されると、攻撃者はローカルファイルへのアクセスやService Side Request Forgery (SSRF)攻撃を実行できる可能性があります。影響を受けるバージョンは2.27.0以前であり、2.27.1以降で修正されています。

影響と攻撃シナリオ

このXXEインジェクション脆弱性は、攻撃者がGeoServerプロセスがアクセス可能なローカルファイルを読み出すことを可能にします。これにより、機密情報が漏洩する可能性があります。さらに、攻撃者はSSRF攻撃を実行し、GeoServerから他の内部システムや外部リソースへのリクエストを送信できます。攻撃者は、GeoToolsライブラリのエンティティ解決の制限を回避することで、この脆弱性を悪用できます。この脆弱性は、機密情報の漏洩、内部ネットワークへのアクセス、さらにはシステム全体の制御喪失につながる可能性があります。

悪用の状況

CVE-2025-30220は、2025年6月10日に公開されました。現時点では、公開されているPoCは確認されていませんが、XXEインジェクションは一般的に悪用が容易な脆弱性であるため、今後の攻撃の可能性は否定できません。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

Organizations utilizing GeoServer for geospatial data serving, particularly those with publicly accessible WFS endpoints, are at risk. Environments with legacy GeoServer configurations or those lacking robust network segmentation are especially vulnerable. Shared hosting environments where multiple users share the same GeoServer instance also face increased risk.

検出手順翻訳中…

• linux / server:

journalctl -u geoserver -g "XML External Entity"

• java / supply-chain: Inspect GeoServer configuration files for any custom XML parsing configurations that might bypass entity resolution restrictions. • generic web: Use curl to test WFS endpoints with specially crafted XML payloads containing external entity references. Monitor response headers for signs of OOB data exfiltration (e.g., DNS requests to unexpected domains).

攻撃タイムライン

2025-06-10Disclosure
disclosure
2025-06-10CISA KEV
added to KEV

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

悪用を検出YES

EPSS

8.39% (92% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントorg.geoserver.web:gs-web-app

ベンダーosv

影響範囲修正版

>= 2.27.0, < 2.27.1 – >= 2.27.0, < 2.27.12.27.1

>= 2.26.0, < 2.26.3 – >= 2.26.0, < 2.26.32.26.1

< 2.25.7 – < 2.25.72.25.8

2.27.02.27.1

弱点分類 (CWE)

CWE-611 CWE-918

タイムライン

予約済み2025-03-18
公開日2025-06-10
更新日2026-02-04
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まずGeoServerをバージョン2.27.1以降にアップグレードすることを推奨します。アップグレードが困難な場合は、XML解析におけるエンティティ解決の許可リスト（ENTITYRESOLUTIONALLOWLIST）を適切に設定し、不要なエンティティの解決を制限してください。WAFやプロキシサーバーを使用して、XXE攻撃を検知・防御することも有効です。また、GeoServerのログを監視し、異常なリクエストやファイルアクセスを検出するためのルールを設定してください。

修正方法

GeoToolsをバージョン33.1、32.3、31.7、または28.6.1以降にアップデートしてください。GeoServerを使用している場合は、バージョン2.27.1、2.26.3、または2.25.7以降にアップデートしてください。GeoNetworkを使用している場合は、バージョン4.4.8または4.2.13以降にアップデートしてください。これにより、XSDスキーマ処理におけるXXE脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-30220 — XXEインジェクションはGeoServer Web Feature Serviceで何ですか？