АНУ-ын Cybersecurity and Infrastructure Security Agency (CISA) пүрэв гарагт OSGeo GeoServer-т нөлөөлөх өндөр эрсдэлтэй аюулгүй байдлын эмзэг байдлыг бодит орчинд идэвхтэй ашиглагдаж буй нь тогтоогдсоны үндсэн дээр Known Exploited Vulnerabilities (KEV) жагсаалтад нэмж бүртгэлээ.
Тус эмзэг байдал нь CVE-2025-58360 (CVSS оноо: 8.2) бөгөөд баталгаажуулалт шаардахгүй XML External Entity (XXE) төрлийн алдаа юм. Энэ нь 2.25.5 хүртэлх (оруулах) бүх хувилбаруудад, мөн 2.26.0–2.26.1 хувилбаруудад нөлөөлнө. Харин 2.25.6, 2.26.2, 2.27.0, 2.28.0, 2.28.1 хувилбаруудад засварлагдсан байна. Тус асуудлыг илрүүлж мэдээлсэнд AI-д суурилсан эмзэг байдал илрүүлэх платформ XBOW-ыг онцлон талархжээ.
CISA-гийн тайлбарласнаар, “OSGeo GeoServer нь XML гадаад entity-ийн лавлагааг зохих ёсоор хязгаарлаагүй эмзэг байдалтай. Энэ нь /geoserver/wms төгсгөлийн GetMap үйлдлээр XML оролт хүлээн авах үед үүсэж, халдагч XML хүсэлт дотор гадаад entity тодорхойлох боломж олгож болзошгүй” гэжээ.
Дараах багцууд уг эмзэг байдалд өртсөн байна.
-
docker.osgeo.org/geoserver -
org.geoserver.web:gs-web-app(Maven) -
org.geoserver:gs-wms(Maven)
Нээлттэй эхийн програм хангамжийн хөгжүүлэгчдийн өнгөрсөн сард нийтэлсэн анхааруулгад дурдсанаар, уг эмзэг байдлыг амжилттай ашиглавал халдагч серверийн файлын системээс дурын файл унших, Server-Side Request Forgery (SSRF) хийж дотоод системүүдтэй харилцах, эсвэл нөөцийг шавхах замаар DoS халдлага өдөөх боломжтой.
Одоогоор бодит халдлагад хэрхэн ашиглагдаж буй талаарх дэлгэрэнгүй мэдээлэл байхгүй ч, Канадын Кибер аюулгүй байдлын төв 2025 оны 11 дүгээр сарын 28-ны мэдээлэлдээ “CVE-2025-58360-ийн exploit бодит орчинд (in the wild) оршиж байна” гэж мэдэгджээ.
Мөн ижил програмд хамаарах өөр нэг чухал эмзэг байдал болох CVE-2024-36401 (CVSS: 9.8) нь сүүлийн нэг жилийн хугацаанд олон халдлагын бүлэглэлүүдэд ашиглагдсан гэдгийг тэмдэглэх нь зүйтэй. АНУ-ын Холбооны гүйцэтгэх засаглалын иргэний байгууллагууд (FCEB) сүлжээний аюулгүй байдлаа хангахын тулд шаардлагатай засваруудыг 2026 оны 1 дүгээр сарын 1-нээс өмнө хэрэгжүүлэхийг зөвлөжээ.
