CVE-2025-58360 — 神龙十问 AI 深度分析摘要
CVSS 8.2 · High
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:GeoServer WMS GetMap 端点存在 **XXE(XML外部实体)注入** 漏洞。 💥 **后果**:攻击者可利用未清理的 XML 输入,导致 **敏感文件泄露** 或 **服务拒绝服务 (DoS)**。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-611 (Improper Restriction of XML External Entity Reference)。 📍 **缺陷点**:`/geoserver/wms` 操作中的 **GetMap 端点** 对 XML 输入缺乏充分的清理和限制。
Q3影响谁?(版本/组件)
📦 **组件**:GeoServer (Java 编写的地理空间数据服务器)。 📅 **受影响版本**: - **2.26.0** 至 **2.26.2** 之前版本 - **2.25.6** 之前版本
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. **读取文件**:通过 XXE 读取服务器本地敏感文件。 2. **DoS 攻击**:消耗服务器资源导致服务不可用。 🔑 **权限**:无需认证 (PR:N),远程直接利用。
Q5利用门槛高吗?(认证/配置)
📉 **门槛**:**极低**。 - **网络访问**:AV:N (网络远程) - **认证**:PR:N (无需权限) - **交互**:UI:N (无需用户交互) - **复杂度**:AC:L (低复杂度) 只需发送构造的 XML 请求即可触发。
Q6有现成Exp吗?(PoC/在野利用)
💻 **Exp/PoC**:**已有现成利用代码**。 - GitHub 上多个仓库提供了 Nuclei 模板和专用 Exploit (如 `Blackash-CVE-2025-58360`)。 - 在野利用风险高,工具链已成熟。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. **扫描**:使用 Nuclei 模板 `http/cves/2025/CVE-2025-58360.yaml` 进行自动化扫描。 2. **检测**:检查目标是否运行受影响版本的 GeoServer,并针对 `/geoserver/wms` 端点发送测试 XML 载荷。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**: - 参考链接:[GHSA-fjf5-xgmq-5525](https://github.com/geoserver/geoserver/security/advisories/GHSA-fjf5-xgmq-5525) - 建议升级至 **2.26.2 及之后** 或 **2.25.6 及之后** 的安全版本。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: - **WAF 防护**:在 WAF 中拦截包含 XML 实体定义 (`<!ENTITY`) 或外部实体引用的请求。 - **访问控制**:限制 `/geoserver/wms` 端点的访问权限,仅允许可信 IP。 - **输入过滤**:如果可能,在服务层禁用 XML 外部实体解析功能。
Q10急不急?(优先级建议)
🔥 **优先级**:**高 (Critical)**。 - **CVSS 评分**:高危害 (C:H),中等可用性影响 (A:L)。 - **理由**:无需认证、远程利用、已有 PoC、数据泄露风险大。建议 **立即** 评估并升级或实施缓解措施。