【安全资讯】CISA下令联邦机构紧急修补正被利用的GeoServer漏洞

概要：

美国网络安全和基础设施安全局（CISA）近日发布紧急指令，要求联邦机构修补一个在GeoServer开源地理空间数据服务器中发现的严重安全漏洞。该漏洞已被攻击者积极利用，可能引发数据泄露和系统入侵，对政府信息系统构成重大威胁。

主要内容：

此次被CISA列入已知被利用漏洞（KEV）目录的漏洞编号为CVE-2025-58360，存在于GeoServer 2.26.1及更早版本中。其核心是一个未经身份验证的XML外部实体（XXE）注入漏洞。攻击者可以通过向特定的 `/geoserver/wms` 端点发送特制的XML请求，利用该漏洞从服务器上读取任意文件。

漏洞的技术原理在于，GeoServer在处理XML输入时，未能对用户提交的数据进行充分的清理或限制。这使得攻击者能够在XML请求中定义外部实体，从而诱使配置不当的XML解析器访问外部或内部资源，最终可能导致拒绝服务攻击、窃取敏感数据或执行服务器端请求伪造（SSRF）攻击，进而与内部系统交互。

根据网络监测数据，目前互联网上暴露了超过14,000个GeoServer实例，其中Shadowserver追踪到2,451个具有GeoServer指纹的IP地址，这为攻击者提供了广阔的潜在攻击面。CISA已下令联邦民事行政部门（FCEB）机构必须在2026年1月1日前完成修补，并强烈建议所有网络防御者优先处理此漏洞。

此次事件凸显了开源软件供应链安全的重要性。GeoServer此前也曾曝出其他高危漏洞并被利用，例如CVE-2024-36401漏洞在2024年就曾导致一家未具名的美国政府机构遭入侵。及时修补此类广泛使用的开源组件，是防范系统性风险的关键。