Američka agencija za sajber bezbjednost CISA upozorila je u četvrtak da hakeri aktivno eksploatišu nedavnu ranjivost u OSGeo GeoServeru u napadima.
Ranjivost se prati pod oznakom CVE-2025-58360 (CVSS ocjena 9.8) i ima kritičnu ozbiljnost. Opisana je kao XML External Entity (XXE) propust koji napadačima može omogućiti pristup proizvoljnim fajlovima, izvođenje SSRF napada ili izazivanje uskraćivanja usluge (DoS).
„Aplikacija prihvata XML ulaz kroz specifični endpoint /geoserver/wms operaciju GetMap. Međutim, ovaj ulaz nije dovoljno sanitizovan niti ograničen, što napadaču omogućava da definiše eksterne entitete unutar XML zahtjeva“, naveli su održavaoci GeoServera prošlog mjeseca.
Zakrpe za ovaj bezbjednosni propust uključene su u GeoServer verziju 2.28.1, koja je objavljena 25. novembra. Ažuriranje je takođe otklonilo ranjivost srednje ozbiljnosti tipa XSS u aplikaciji (praćenu kao CVE-2025-21621).
Paketi pogođeni ovim problemom uključuju docker.osgeo.org/geoserver, org.geoserver.web:gs-web-app (Maven) i org.geoserver:gs-wms (Maven), koje je potrebno ažurirati na verzije 2.25.6, 2.26.3 ili 2.27.0.
U četvrtak je CISA dodala CVE-2025-58360 na svoju listu poznatih eksploatisanih ranjivosti (Known Exploited Vulnerabilities – KEV), bez navođenja detalja o uočenoj eksploataciji u stvarnim napadima.
Ipak, na osnovu savjetodavnih izvještaja kompanije za sajber bezbjednost Wiz i Kanadskog centra za sajber bezbjednost, eksploatacija ove ranjivosti postoji još od kraja novembra.
U skladu sa Obavezujućom operativnom direktivom (Binding Operational Directive – BOD) 22-01, federalne agencije imaju rok od tri sedmice da identifikuju i zakrpe ranjive GeoServer instance u svojim okruženjima.
Vrijedi napomenuti da je CVE-2025-58360 treća eksploatisana GeoServer ranjivost koju je CISA dokumentovala ove godine. U junu je upozorila na eksploataciju CVE-2022-24816, a u julu je saopštila da je CVE-2024-36401 takođe bila meta napada.
U septembru je CISA otkrila da je, četiri dana prije julskog upozorenja, haker iskoristio gotovo godinu dana star GeoServer propust kako bi kompromitovao jednu federalnu agenciju.
Izvor: SecurityWeek
