Агентство по кибербезопасности и защите инфраструктуры США (CISA) в четверг внесло критическую ошибку безопасности в свой каталог известных эксплуатируемых уязвимостей (KEV). Речь идет о программном обеспечении OSGeo GeoServer, популярном инструменте для работы с геопространственными данными. Причиной добавления стали доказательства активной эксплуатации данного недостатка в реальных атаках, что требует немедленного внимания со стороны администраторов систем.
Уязвимость получила идентификатор CVE-2025-58360 и классифицируется как ошибка высокой степени тяжести с оценкой 8.2 по шкале CVSS. Это неаутентифицированная уязвимость типа XML External Entity (XXE), вызванная неправильным ограничением ссылок на внешние сущности XML. Технически проблема возникает, когда приложение принимает ввод XML через определенную конечную точку, позволяя злоумышленникам манипулировать процессом обработки данных.
Механизм атаки сосредоточен на конечной точке
Последствия взлома через CVE-2025-58360 могут быть разрушительными. Злоумышленники способны получить доступ к произвольным файлам файловой системы сервера или инициировать подделку запросов на стороне сервера (SSRF) для взаимодействия с внутренними системами, скрытыми за периметром безопасности. Кроме того, эксплуатация уязвимости может привести к исчерпанию системных ресурсов, вызывая состояние отказа в обслуживании (DoS) и падение сервиса.
Под угрозой находятся все версии OSGeo GeoServer до 2.25.5 включительно, а также выпуски с 2.26.0 по 2.26.1. Разработчики оперативно выпустили исправления, и защищенными считаются версии 2.25.6, 2.26.2, 2.27.0, 2.28.0 и 2.28.1. Для идентификации уязвимого ПО в технических средах следует ориентироваться на веб-домен
Примечательно, что обнаружение этой уязвимости является заслугой платформы XBOW, использующей технологии искусственного интеллекта для поиска багов. Сопровождающие проекта GeoServer опубликовали предупреждение в конце прошлого месяца. Доказательства реальных атак были подтверждены Канадским центром кибербезопасности, который в бюллетене от 28 ноября 2025 года заявил, что «эксплойт для CVE-2025-58360 существует в дикой природе». На текущий момент конкретные технические детали того, как именно дефект используется злоумышленниками, не раскрываются.
В связи с высокой степенью риска CISA выпустила директиву для агентств Федеральной исполнительной ветви власти (FCEB). Федеральным ведомствам предписано применить необходимые исправления безопасности в срок до 1 января 2026 года. Это требование подчеркивает критичность ситуации и необходимость оперативного закрытия бреши в периметре безопасности государственных систем.
Ситуация усугубляется историческим контекстом, так как GeoServer уже становился мишенью хакеров. Ранее в программном обеспечении была обнаружена критическая уязвимость CVE-2024-36401 с оценкой 9.8 баллов по шкале CVSS. Тот дефект активно эксплуатировался множеством киберпреступных группировок на протяжении последнего года, что делает новую уязвимость еще более привлекательной для злоумышленников, знакомых с архитектурой данного ПО.
Уязвимость получила идентификатор CVE-2025-58360 и классифицируется как ошибка высокой степени тяжести с оценкой 8.2 по шкале CVSS. Это неаутентифицированная уязвимость типа XML External Entity (XXE), вызванная неправильным ограничением ссылок на внешние сущности XML. Технически проблема возникает, когда приложение принимает ввод XML через определенную конечную точку, позволяя злоумышленникам манипулировать процессом обработки данных.
Механизм атаки сосредоточен на конечной точке
/geoserver/wms при выполнении операции GetMap. Злоумышленник может определить внешние сущности внутри XML-запроса, которые сервер затем попытается обработать. Успешная эксплуатация этого недостатка открывает хакерам широкие возможности для компрометации системы, включая несанкционированный доступ к конфиденциальным данным и нарушение работоспособности сервисов. Последствия взлома через CVE-2025-58360 могут быть разрушительными. Злоумышленники способны получить доступ к произвольным файлам файловой системы сервера или инициировать подделку запросов на стороне сервера (SSRF) для взаимодействия с внутренними системами, скрытыми за периметром безопасности. Кроме того, эксплуатация уязвимости может привести к исчерпанию системных ресурсов, вызывая состояние отказа в обслуживании (DoS) и падение сервиса.
Под угрозой находятся все версии OSGeo GeoServer до 2.25.5 включительно, а также выпуски с 2.26.0 по 2.26.1. Разработчики оперативно выпустили исправления, и защищенными считаются версии 2.25.6, 2.26.2, 2.27.0, 2.28.0 и 2.28.1. Для идентификации уязвимого ПО в технических средах следует ориентироваться на веб-домен
osgeo.org/geoserver и пакеты Maven org.geoserver.web:gs-web-app и org.geoserver:gs-wms. Примечательно, что обнаружение этой уязвимости является заслугой платформы XBOW, использующей технологии искусственного интеллекта для поиска багов. Сопровождающие проекта GeoServer опубликовали предупреждение в конце прошлого месяца. Доказательства реальных атак были подтверждены Канадским центром кибербезопасности, который в бюллетене от 28 ноября 2025 года заявил, что «эксплойт для CVE-2025-58360 существует в дикой природе». На текущий момент конкретные технические детали того, как именно дефект используется злоумышленниками, не раскрываются.
В связи с высокой степенью риска CISA выпустила директиву для агентств Федеральной исполнительной ветви власти (FCEB). Федеральным ведомствам предписано применить необходимые исправления безопасности в срок до 1 января 2026 года. Это требование подчеркивает критичность ситуации и необходимость оперативного закрытия бреши в периметре безопасности государственных систем.
Ситуация усугубляется историческим контекстом, так как GeoServer уже становился мишенью хакеров. Ранее в программном обеспечении была обнаружена критическая уязвимость CVE-2024-36401 с оценкой 9.8 баллов по шкале CVSS. Тот дефект активно эксплуатировался множеством киберпреступных группировок на протяжении последнего года, что делает новую уязвимость еще более привлекательной для злоумышленников, знакомых с архитектурой данного ПО.
