La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el jueves adicional una falla de seguridad de alta gravedad que afecta a OSGeo GeoServer debido a sus vulnerabilidades conocidas explotadas ( KEV ) catálogo, basado en la evidencia de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-58360 (puntuación CVSS: 8.2), una entidad externa XML no autenticada ( XXE ) que afecta a todas las versiones anteriores a la 2.25.5, incluida, y de las versiones 2.26.0 a 2.26.1. Se ha corregido en las versiones 2,25,6 , 2,2262 , 2,2,0 , 2,2,0 , y 2,28,1 . La plataforma de detección de vulnerabilidades basada en inteligencia artificial (IA) XBOW ha sido reconocida por denunciar el problema.
«OSGeo GeoServer contiene una vulnerabilidad inadecuada de restricción de referencia a entidades externas XML que se produce cuando la aplicación acepta la entrada XML a través de una operación GetMap de punto final /geoserver/wms específica y podría permitir a un atacante definir entidades externas dentro de la solicitud XML», afirma CISA.
Los siguientes paquetes se ven afectados por la falla -
- docker.osgeo.org/geoserver
- org.geoserver.web:gs-web-app (Maven)
- org.geoserver:gs-wms (Maven)
La explotación exitosa de la vulnerabilidad podría permitir a un atacante acceder a archivos arbitrarios desde el sistema de archivos del servidor, realizar una falsificación de solicitudes del lado del servidor (SSRF) para interactuar con los sistemas internos o lanzar un ataque de denegación de servicio (DoS) agotando los recursos, los mantenedores del software de código abierto dijo en una alerta publicada a finales del mes pasado.
Actualmente no hay detalles disponibles sobre cómo se está abusando del defecto de seguridad en los ataques del mundo real. Sin embargo, un boletín del Centro Canadiense de Seguridad Cibernética del 28 de noviembre de 2025, dijo «existe un exploit para CVE-2025-58360 en estado salvaje».
Vale la pena señalar que otro defecto crítico en el mismo software (CVE-2024-36401, puntuación CVSS: 9,8) ha sido explotado por múltiples actores de amenazas sobre el año pasado . Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 1 de enero de 2026 para proteger sus redes.