CISA Warns of OSGeo GeoServer 0-Day Vulnerability Exploited in Attacks
2025/12/12 CyberSecurityNews — OSGeo GeoServer が公開したのは、広く利用されているオープンソース地理データ共有サーバの、深刻なセキュリティ脆弱性に関する緊急アドバイザリである。それに並行して CISA も、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この措置が示すのは、公共部門と民間部門を標的とする攻撃において、このゼロデイ脆弱性が脅威アクターたちに積極的に悪用されている状況である。新たに公開された脆弱性は CVE-2025-58360 として追跡され、XML 外部エンティティ (XXE) 参照の不適切な制限に分類される。
このセキュリティ上の問題は、アプリケーションにおける XML 入力処理に存在し、GetMap 操作中の “/geoserver/wms” エンドポイントに関係する。
セキュリティ研究者たちが確認したのは、XML リクエスト内の外部エンティティを、このソフトウェアが適切に制限していないことだ。
| Field | Details |
|---|---|
| CVE ID | CVE-2025-58360 |
| Name | OSGeo GeoServer XXE Vulnerability |
| Description | XML input in /geoserver/wms GetMap is not properly restricted, allowing external XML entities. |
| Related CWE | CWE-611 |
| Action | Apply vendor fixes, follow BOD 22-01 for cloud services, or stop using the product. |
この脆弱性を悪用するリモート攻撃者は、リクエスト内に悪意の外部エンティティを定義できる。それにより、権限のない攻撃者であっても、サーバ上のファイルを閲覧できるようになる。それに加えて、サーバサイド・リクエスト・フォージェリ (SSRF) や、サービス拒否状態を引き起こす可能性もある。
そしてアクティブな悪用を確認した CISA が KEV カタログに登録し、連邦民間行政機関 (FCEB) に対して速やかなシステム保護を求めた。拘束的運用指令 (BOD) 22-01 に基づき、CISA はすべての FCEB 機関に対し、2026年1月1日までに脆弱性 CVE-2025-58360 の修正を指示した。
この指示は連邦政府機関にのみ適用されるが、すべての OSGeo GeoServer を使用する民間組織に対して CISA が強く推奨するのは 、このアップデートの優先的な適用である。
特定のコンフィグに対するパッチが未提供の場合は、CISA のクラウド・サービスに関するガイダンスに従う必要がある。影響を受ける製品のセキュリティが確保されるまで、一時的な使用中止を検討すべきである。
GeoServerで見つかった深刻な脆弱性 CVE-2025-58360 の原因は、XMLの入力に対する不適切な処理にあります。具体的には、”/geoserver/wms” エンドポイントへの GetMap 操作時に、悪意の XML 外部エンティティ (XXE) を定義できてしまう問題が生じています。この脆弱性の悪用が、米連邦政府内でも確認されたことで、CISA が KEV リストに登録しました。ご利用のチームは、ご注意ください。よろしければ、CISA KEV での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.