La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una falla de seguridad de alta gravedad que afecta a OSGeo GeoServer a su catálogo de vulnerabilidades explotadas conocidas (KEV) basándose en evidencia de explotación en el mundo real.
La vulnerabilidad en cuestión es CVE-2025-58360 (puntaje CVSS: 8.2), una falla de entidad externa XML no autenticada (XXE) que afecta a todas las versiones anteriores a la 2.25.5 y a las versiones 2.26.0 a 2.26.1. Parchado en las versiones 2.25.6, 2.26.2, 2.27.0, 2.28.0 y 2.28.1. XBOW, una plataforma de descubrimiento de vulnerabilidades impulsada por inteligencia artificial (IA), es reconocida por informar este problema.
«OSGeo GeoServer contiene una restricción inadecuada sobre las referencias de entidades externas XML que ocurre cuando una aplicación acepta entradas XML a través de ciertos puntos finales/geoserver/wms operación GetMap, lo que podría permitir a un atacante definir entidades externas dentro de una solicitud XML», dijo CISA.
Los siguientes paquetes se ven afectados por esta falla:
docker.osgeo.org/geoserver org.geoserver.web:gs-web-app (Maven) org.geoserver:gs-wms (Maven)
La explotación exitosa de la vulnerabilidad podría permitir a un atacante acceder a archivos arbitrarios desde el sistema de archivos del servidor, realizar falsificación de solicitudes del lado del servidor (SSRF) para interactuar con sistemas internos, agotar recursos y lanzar un ataque de denegación de servicio (DoS), dijeron administradores de software de código abierto en una advertencia publicada a finales del mes pasado.
En este momento, se desconocen los detalles sobre cómo se aprovecha esta falla de seguridad en ataques del mundo real. Sin embargo, el boletín del Centro Canadiense de Seguridad Cibernética del 28 de noviembre de 2025 afirma que «existe un exploit para CVE-2025-58360».
Vale la pena señalar que varios atacantes han explotado otra falla crítica en el mismo software (CVE-2024-36401, puntuación CVSS: 9,8) durante el año pasado. Se alienta a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar las correcciones necesarias antes del 1 de enero de 2026 para proteger sus redes.
Source link
