GeoServer是一个开源服务器,用于共享、处理和编辑地理空间数据。它支持多种地图和数据标准,使用户能够通过网络访问和操作地理信息系统(GIS)数据。
2025年6月,互联网上披露GeoServer SSRF漏洞(CVE-2024-29198)漏洞和GeoServer XXE漏洞(CVE-2025-30220),攻击者无需认证即可读取服务器上的敏感文件,最终可能导致服务器沦陷,建议受影响的客户尽快修复漏洞。
漏洞成因
SSRF
该系统在未设置 PROXY_BASE_URL 时,允许未经身份验证的用户通过 Demo 端点向服务器发起请求。这种不当配置使得攻击者能够利用 GeoServer 的功能来发送恶意请求到内部或外部网络中的其他服务器,从而导致服务器端请求伪造 (SSRF)。
XXE
GeoTools 库使用 Eclipse XSD 库来处理 XML 数据,并且未正确配置 EntityResolver,这导致了 XML 外部实体 (XXE) 漏洞。当 GeoServer 或 GeoNetwork 调用 GeoTools 库处理 XML 数据时,攻击者可以注入恶意的 XML 实体,进而读取本地文件或发起其他攻击。
漏洞影响
攻击者可读取服务器上的敏感文件(如配置文件、密钥文件等),可能导致凭据泄露,进一步利用可能导致服务器沦陷。
处置优先级:高
漏洞类型:SSRF/XXE
漏洞危害等级:高
触发方式:网络远程
权限认证要求:无需权限
系统配置要求:默认配置
用户交互要求:无需用户交互
利用成熟度:POC/EXP 未公开
修复复杂度:低,官方提供补丁修复方案
SSRF
GeoServer: version<2.24.4 version<2.25.2
XXE
GeoServer: version<2.27.1,version<2.26.3,version<2.25.7
Geotools: version<33.1,version<32.3,version<31.7,version<28.6.1
geonetwork: version<4.4.8,version<4.2.13
SSRF临时缓解方案
如果在没有代理的情况下直接使用 GeoServer,可以通过编辑 web.xml文件来阻止所有对 TestWfsPost的访问。在文件末尾添加以下代码块:
<security-constraint>
<web-resource-collection>
<web-resource-name>Restrict TestWfsPost</web-resource-name>
<url-pattern>/geoserver/wfs/TestWfsPost*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>none</role-name>
</auth-constraint>
</security-constraint>
SSRF升级修复方案
GeoServer 官方已发布安全补丁,请及时更新到以下版本:
GeoServer 2.24.4 或 2.25.2
下载地址:https://github.com/geoserver/geoserver/releases
XXE临时缓解方案
将 EntityResolver 提供给以下方法:
Schemas.parse( location, locators, resolvers, uriHandlers, entityResolver);
Schemas.findSchemas(Configuration configuration, EntityResolver entityResolver);
XXE升级修复方案
厂商已推出升级版本修复漏洞,请及时更新到以下版本:
GeoServer: 2.27.1、2.26.3、2.25.7
GeoTools: 33.1、32.3、31.7、28.6.1
GeoNetwork: 4.4.8、4.2.13
下载地址:
https://github.com/geoserver/geoserver/releases
https://github.com/geotools/geotools/releases
https://github.com/geonetwork/core-geonetwork/releases
漏洞复现
Reproduction
04
SSRF
![【已复现】GeoServer SSRF和XXE漏洞]()
XXE
![【已复现】GeoServer SSRF和XXE漏洞]()
产品支持
Support
05
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC检测
洞鉴:预计2025.6.13发布自定义POC支持该漏洞的PoC检测
雷池:预计2025.6.13发布自定义规则,支持该漏洞利用行为的检测
全悉:预计2025.6.13发布规则更新包,支持该漏洞利用行为的检测
GeoServer 官方已发布安全补丁,请及时更新到以下版本:
GeoServer 2.24.4 或 2.25.2
下载地址:https://github.com/geoserver/geoserver/releases
XXE临时缓解方案
将 EntityResolver 提供给以下方法:
Schemas.parse( location, locators, resolvers, uriHandlers, entityResolver);
Schemas.findSchemas(Configuration configuration, EntityResolver entityResolver);
XXE升级修复方案
厂商已推出升级版本修复漏洞,请及时更新到以下版本:
GeoServer: 2.27.1、2.26.3、2.25.7
GeoTools: 33.1、32.3、31.7、28.6.1
GeoNetwork: 4.4.8、4.2.13
下载地址:
https://github.com/geoserver/geoserver/releases
https://github.com/geotools/geotools/releases
https://github.com/geonetwork/core-geonetwork/releases
厂商已推出升级版本修复漏洞,请及时更新到以下版本:
GeoServer: 2.27.1、2.26.3、2.25.7
GeoTools: 33.1、32.3、31.7、28.6.1
GeoNetwork: 4.4.8、4.2.13
下载地址:
https://github.com/geoserver/geoserver/releases
https://github.com/geotools/geotools/releases
https://github.com/geonetwork/core-geonetwork/releases
SSRF
XXE
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC检测
洞鉴:预计2025.6.13发布自定义POC支持该漏洞的PoC检测
雷池:预计2025.6.13发布自定义规则,支持该漏洞利用行为的检测
全悉:预计2025.6.13发布规则更新包,支持该漏洞利用行为的检测
6月12日 长亭安全应急响应中心发布通告
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否受到此次漏洞影响
请联系长亭应急服务团队
7*24小时,守护您的安全
第一时间找到我们:
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论