米国のサイバーセキュリティ機関であるCISAは木曜日、脅威アクターが最近のOSGeo GeoServerの脆弱性を攻撃で悪用していると警告した。
CVE-2025-58360(CVSSスコア 9.8)として追跡されているこの重大なバグは、攻撃者が任意のファイルへアクセスしたり、SSRF攻撃を実行したり、サービス拒否(DoS)状態を引き起こしたりする可能性のあるXML External Entity(XXE)問題として説明されている。
「このアプリケーションは、特定のエンドポイント /geoserver/wms の操作 GetMap を通じてXML入力を受け付けます。しかし、この入力は十分にサニタイズまたは制限されておらず、攻撃者がXMLリクエスト内で外部エンティティを定義できてしまいます」と、GeoServerのメンテナは先月述べている。
このセキュリティ欠陥に対するパッチは、11月25日にアナウンスされたGeoServerのバージョン 2.28.1に含まれている。このアップデートでは、アプリケーション内の中程度の深刻度のXSS脆弱性(CVE-2025-21621として追跡)についても対処している。
この問題の影響を受けるパッケージには、docker.osgeo.org/geoserver、org.geoserver.web:gs-web-app(Maven)、およびorg.geoserver:gs-wms(Maven)が含まれており、2.25.6、2.26.3、または2.27.0に更新する必要がある。
木曜日、CISAはCVE-2025-58360を、既知の悪用脆弱性(KEV)リストに追加したが、観測された野外での悪用に関する詳細は提供していない。
しかし、サイバーセキュリティ企業WizおよびCanadian Cyber Centreからの勧告に基づくと、このバグのエクスプロイトは11月下旬から存在している。
拘束力のある運用指令(BOD)22-01に基づき、連邦機関は、自身の環境内にある脆弱なGeoServerインスタンスを特定しパッチを適用するまでに3週間の猶予が与えられている。
なお、CVE-2025-58360は、CISAが今年文書化した3つ目の悪用されたGeoServer脆弱性である。6月には、CVE-2022-24816の悪用について警告し、7月にはCVE-2024-36401が攻撃で標的にされたと警告している。
9月にはCISAは、7月の警告の4日前に、脅威アクターが1年前のGeoServerの欠陥を悪用し、連邦機関を侵害していたことを明らかにした。
翻訳元: https://www.securityweek.com/recent-geoserver-vulnerability-exploited-in-attacks/
