Plataforma
java
Componente
org.geoserver.web:gs-web-app
Corrigido em
2.27.1
2.26.1
2.25.8
2.27.1
Uma vulnerabilidade de injeção XXE (XML External Entity) foi descoberta no GeoServer Web Feature Service (WFS). Essa falha permite que atacantes explorem o processamento de XML, potencialmente levando à exfiltração de dados de arquivos locais acessíveis pelo processo GeoServer e a ataques de falsificação de solicitação do lado do servidor (SSRF). A vulnerabilidade afeta versões do GeoServer até a 2.27.0 e foi corrigida na versão 2.27.1.
A exploração bem-sucedida da vulnerabilidade CVE-2025-30220 pode permitir que um atacante exfiltre dados confidenciais de arquivos locais acessíveis pelo processo GeoServer. Isso pode incluir informações de configuração, chaves de API ou outros dados sensíveis. Além disso, a vulnerabilidade permite ataques SSRF, permitindo que um atacante faça solicitações em nome do servidor GeoServer, potencialmente acessando recursos internos ou interagindo com outros sistemas. A combinação dessas capacidades representa um risco significativo para a confidencialidade, integridade e disponibilidade do sistema GeoServer e dos dados que ele gerencia. A exploração é similar a ataques XXE que exploram falhas na validação de entrada XML, permitindo a inclusão de entidades externas.
A vulnerabilidade CVE-2025-30220 foi publicada em 10 de junho de 2025. Não há informações disponíveis sobre sua inclusão no KEV (CISA Known Exploited Vulnerabilities) ou um score EPSS (Exploit Prediction Scoring System). Atualmente, não há public proof-of-concept (PoC) amplamente disponíveis, mas a natureza da vulnerabilidade XXE sugere que um PoC pode ser desenvolvido rapidamente. É importante monitorar a situação e aplicar as medidas de mitigação apropriadas.
Organizations utilizing GeoServer for geospatial data serving, particularly those with publicly accessible WFS endpoints, are at risk. Environments with legacy GeoServer configurations or those lacking robust network segmentation are especially vulnerable. Shared hosting environments where multiple users share the same GeoServer instance also face increased risk.
• linux / server:
journalctl -u geoserver -g "XML External Entity"• java / supply-chain:
Inspect GeoServer configuration files for any custom XML parsing configurations that might bypass entity resolution restrictions.
• generic web:
Use curl to test WFS endpoints with specially crafted XML payloads containing external entity references. Monitor response headers for signs of OOB data exfiltration (e.g., DNS requests to unexpected domains).
disclosure
added to KEV
Status do Exploit
EPSS
8.39% (percentil 92%)
CISA SSVC
Vetor CVSS
Exploração detectada
NextGuard registrou indicadores de exploração ativa em feeds públicos.
A correção primária para CVE-2025-30220 é atualizar o GeoServer para a versão 2.27.1 ou superior. Se a atualização imediata não for possível, medidas de mitigação podem ser implementadas. Primeiramente, revise e reforce as configurações de resolução de entidade XML, garantindo que a lista de permissões de entidades (ENTITYRESOLUTIONALLOWLIST) esteja configurada corretamente e restrinja o acesso a entidades externas. Em segundo lugar, configure um Web Application Firewall (WAF) ou proxy reverso para filtrar solicitações XML maliciosas. Por fim, monitore os logs do GeoServer em busca de padrões suspeitos de solicitações XML que possam indicar uma tentativa de exploração. Após a atualização, confirme a correção verificando os logs do GeoServer em busca de erros relacionados ao processamento de XML e realizando testes de penetração para validar a mitigação.
Atualize o GeoTools para a versão 33.1, 32.3, 31.7 ou 28.6.1 ou superior. Se estiver usando o GeoServer, atualize para a versão 2.27.1, 2.26.3 ou 2.25.7 ou superior. Se estiver usando o GeoNetwork, atualize para a versão 4.4.8 ou 4.2.13 ou superior. Isso corrige a vulnerabilidade XXE no processamento de esquemas XSD.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-30220 é uma vulnerabilidade de injeção XXE no GeoServer WFS, permitindo a exfiltração de dados e ataques SSRF. Afeta versões até 2.27.0.
Sim, se você estiver utilizando uma versão do GeoServer anterior a 2.27.0, você está vulnerável a esta injeção XXE.
A correção é atualizar o GeoServer para a versão 2.27.1 ou superior. Caso não seja possível, implemente medidas de mitigação como configurar um WAF e restringir a resolução de entidades XML.
Atualmente, não há relatos de exploração ativa, mas a natureza da vulnerabilidade XXE sugere que um PoC pode ser desenvolvido rapidamente.
Consulte o site oficial do GeoServer para obter informações e avisos de segurança: [https://www.geoserver.org/security/](https://www.geoserver.org/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.