HIGHCVE-2025-30220CVSS 8.2

[XBOW-025-068] GeoServer WFS 服务中 XML 外部实体 (XXE) 处理漏洞

Q: 什么是 CVE-2025-30220 — XXE 注入在 GeoServer 中？

CVE-2025-30220 是 GeoServer ≤2.27.0 版本中发现的 XML 外部实体 (XXE) 注入漏洞，攻击者可以利用此漏洞泄露敏感信息或进行 SSRF 攻击。

Q: 我是否受到 CVE-2025-30220 在 GeoServer 中的影响？

如果您正在使用 GeoServer 版本小于等于 2.27.0，则可能受到此漏洞的影响。请尽快升级至 2.27.1 或更高版本。

Q: 我如何修复 CVE-2025-30220 在 GeoServer 中的漏洞？

建议升级至 GeoServer 2.27.1 或更高版本。如果无法立即升级，请配置 ENTITY_RESOLUTION_ALLOWLIST 属性并考虑使用 WAF 或代理服务器进行缓解。

Q: 在哪里可以找到 GeoServer 官方关于 CVE-2025-30220 的公告？

请访问 GeoServer 官方网站或查阅相关的安全公告，以获取有关此漏洞的更多信息和修复指南。

平台

java

组件

org.geoserver.web:gs-web-app

修复版本

2.27.1

2.26.1

2.25.8

2.27.1

AI Confidence: highNVDEPSS 8.4%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-30220 是 GeoServer Web Feature Service (WFS) 中的 XML 外部实体 (XXE) 处理漏洞。攻击者可以触发外部 DTD 和实体的解析，绕过标准实体解析器。这可能导致本地文件的 OOB 数据泄露，以及服务端请求伪造 (SSRF)。该漏洞影响 GeoServer 版本小于等于 2.27.0 的用户，建议升级至 2.27.1 版本以修复。

影响与攻击场景

该 XXE 注入漏洞允许攻击者通过解析外部实体来访问 GeoServer 进程可访问的本地文件。攻击者可以利用此漏洞泄露敏感信息，例如配置文件、数据库凭证或其他存储在服务器上的数据。此外，攻击者还可以利用此漏洞执行服务端请求伪造 (SSRF) 攻击，通过 GeoServer 服务器访问内部网络资源或外部服务。这种攻击模式类似于其他 XXE 漏洞的利用方式，可能导致严重的安全风险。

利用背景

该漏洞已公开披露，并已发布到 NVD 数据库。目前尚无公开的利用代码，但由于 XXE 漏洞的普遍性，预计未来可能会出现利用代码。CISA 尚未将其添加到 KEV 目录，但其高危级别表明存在潜在的风险。建议密切关注该漏洞的动态，并采取适当的缓解措施。

哪些人处于风险中翻译中…

Organizations utilizing GeoServer for geospatial data serving, particularly those with publicly accessible WFS endpoints, are at risk. Environments with legacy GeoServer configurations or those lacking robust network segmentation are especially vulnerable. Shared hosting environments where multiple users share the same GeoServer instance also face increased risk.

检测步骤翻译中…

• linux / server:

journalctl -u geoserver -g "XML External Entity"

• java / supply-chain: Inspect GeoServer configuration files for any custom XML parsing configurations that might bypass entity resolution restrictions. • generic web: Use curl to test WFS endpoints with specially crafted XML payloads containing external entity references. Monitor response headers for signs of OOB data exfiltration (e.g., DNS requests to unexpected domains).

攻击时间线

2025-06-10Disclosure
disclosure
2025-06-10CISA KEV
added to KEV

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

检测到利用YES

EPSS

8.39% (92% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

受影响的软件

组件org.geoserver.web:gs-web-app

供应商osv

影响范围修复版本

>= 2.27.0, < 2.27.1 – >= 2.27.0, < 2.27.12.27.1

>= 2.26.0, < 2.26.3 – >= 2.26.0, < 2.26.32.26.1

< 2.25.7 – < 2.25.72.25.8

2.27.02.27.1

弱点分类 (CWE)

CWE-611 CWE-918

时间线

已保留2025-03-18
发布日期2025-06-10
修改日期2026-02-04
EPSS 更新日期2026-03-23

缓解措施和替代方案

修复此漏洞的首要措施是升级 GeoServer 至 2.27.1 或更高版本。如果无法立即升级，可以考虑以下缓解措施：首先，确保 GeoServer 的 ENTITYRESOLUTIONALLOWLIST 属性已正确配置，以限制 XML 解析器可以访问的实体。其次，可以部署 Web 应用防火墙 (WAF) 或代理服务器，以过滤包含恶意 XML 负载的请求。最后，监控 GeoServer 日志，查找任何异常活动或可疑请求，例如尝试访问不应访问的文件的请求。

修复方法

将 GeoTools 更新到版本 33.1、32.3、31.7 或 28.6.1 或更高版本。 如果您正在使用 GeoServer，请更新到版本 2.27.1、2.26.3 或 2.25.7 或更高版本。 如果您正在使用 GeoNetwork，请更新到版本 4.4.8 或 4.2.13 或更高版本。 这修复了 XSD 模式处理中的 XXE 漏洞。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-30220 — XXE 注入在 GeoServer 中？