关键信息 漏洞概述 漏洞类型: XML External Entity (XXE) Processing Vulnerability 受影响服务: GeoServer WFS Service CVE ID: CVE-2025-30220 影响版本 受影响的包: - (Maven) - 版本: 2.27.0, >= 2.26.0, = 2.26.0, <= 2.26.2, <= 2.25.6 修复版本 已修复的包: - - 版本: 2.27.1, 2.26.3, 2.25.7 - - 版本: 2.27.1, 2.26.3, 2.25.7 严重性 CVSS v3 基础评分: 8.2 / 10 攻击向量: 网络 攻击复杂度: 低 所需权限: 无 用户交互: 无 影响范围: 不变 机密性影响: 高 完整性影响: 无 可用性影响: 低 影响 信息泄露: 攻击者可以读取服务器文件系统中任意文件,包括配置文件、凭据和系统文件。 服务器端请求伪造 (SSRF): 可以强制GeoServer向任意URL发起HTTP请求,进行内部网络资源的SSRF攻击。 其他信息 报告者: xbow-security, YacineF 修复开发者: aaiime 协调员: jodygarnett 检测工具: XBOW