Platform
java
Component
org.geoserver.web:gs-web-app
Opgelost in
2.27.1
2.26.1
2.25.8
2.27.1
CVE-2025-30220 beschrijft een XML External Entity (XXE) injectie kwetsbaarheid in de GeoServer Web Feature Service (WFS). Deze kwetsbaarheid stelt aanvallers in staat om externe DTD's en entiteiten te parsen, waardoor gevoelige lokale bestanden kunnen worden gelezen en Service Side Request Forgery (SSRF) aanvallen mogelijk zijn. De kwetsbaarheid treft GeoServer versies tot en met 2.27.0. Een fix is beschikbaar in versie 2.27.1.
Een succesvolle exploitatie van CVE-2025-30220 kan leiden tot het uitlekken van gevoelige informatie uit de GeoServer omgeving. Aanvallers kunnen lokale bestanden benaderen die toegankelijk zijn voor het GeoServer proces, wat kan resulteren in het blootleggen van configuratiebestanden, credentials of andere vertrouwelijke data. Bovendien maakt de XXE-injectie SSRF-aanvallen mogelijk, waardoor de GeoServer server gebruikt kan worden om verbinding te maken met interne of externe systemen, potentieel om gevoelige data te stelen of andere systemen te compromitteren. Dit is vergelijkbaar met de risico's die geassocieerd worden met andere XXE-kwetsbaarheden, waarbij het mogelijk is om de server te gebruiken als proxy.
CVE-2025-30220 is openbaar bekend en de details van de kwetsbaarheid zijn gepubliceerd. Er is geen informatie beschikbaar over actieve exploitatiecampagnes op dit moment. De publicatie datum van de CVE is 2025-06-10. De ernst van de kwetsbaarheid is hoog, wat duidt op een potentieel significant risico.
Organizations utilizing GeoServer for geospatial data serving, particularly those with publicly accessible WFS endpoints, are at risk. Environments with legacy GeoServer configurations or those lacking robust network segmentation are especially vulnerable. Shared hosting environments where multiple users share the same GeoServer instance also face increased risk.
• linux / server:
journalctl -u geoserver -g "XML External Entity"• java / supply-chain:
Inspect GeoServer configuration files for any custom XML parsing configurations that might bypass entity resolution restrictions.
• generic web:
Use curl to test WFS endpoints with specially crafted XML payloads containing external entity references. Monitor response headers for signs of OOB data exfiltration (e.g., DNS requests to unexpected domains).
disclosure
added to KEV
Exploit Status
EPSS
8.39% (92% percentiel)
CISA SSVC
CVSS-vector
Uitbuiting gedetecteerd
NextGuard registreerde indicatoren van actieve uitbuiting in publieke feeds.
De primaire mitigatie voor CVE-2025-30220 is het upgraden naar GeoServer versie 2.27.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om XXE-gerelateerde verzoeken te blokkeren. Configureer de ENTITYRESOLUTIONALLOWLIST property in GeoServer om het parsen van externe entiteiten te beperken. Controleer de GeoServer configuratie op onnodige permissies die de impact van een succesvolle exploitatie kunnen vergroten. Na de upgrade, verifieer de fix door een poging te doen om een XXE-injectie aanval uit te voeren en te controleren of deze wordt geblokkeerd.
Actualiseer GeoTools naar versie 33.1, 32.3, 31.7 of 28.6.1 of hoger. Als u GeoServer gebruikt, actualiseer dan naar versie 2.27.1, 2.26.3 of 2.25.7 of hoger. Als u GeoNetwork gebruikt, actualiseer dan naar versie 4.4.8 of 4.2.13 of hoger. Dit corrigeert de XXE kwetsbaarheid in XSD schemaverwerking.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-30220 is een XML External Entity (XXE) injectie kwetsbaarheid in de GeoServer Web Feature Service (WFS) die het mogelijk maakt voor aanvallers om lokale bestanden te lezen en SSRF-aanvallen uit te voeren.
Ja, als u GeoServer gebruikt in versie 2.27.0 of lager, bent u kwetsbaar voor deze XXE-injectie kwetsbaarheid.
Upgrade naar GeoServer versie 2.27.1 of hoger. Indien een upgrade niet mogelijk is, implementeer dan een WAF of configureer de ENTITYRESOLUTIONALLOWLIST.
Op dit moment is er geen informatie beschikbaar over actieve exploitatiecampagnes, maar de kwetsbaarheid is openbaar bekend en de ernst is hoog.
Raadpleeg de GeoServer beveiligingspagina voor de meest recente informatie: [https://geoserver.org/security/](https://geoserver.org/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.