Vulnerabilidad en GeoServer (CVE-2025-30220)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
10/06/2025
Última modificación:
12/06/2025
Descripción
GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. El uso de la librería XSD de Eclipse por parte de la clase Esquema de GeoTools para representar la estructura de datos del esquema es vulnerable a la vulnerabilidad de Entidad Externa XML (XXE). Esto afecta a quien exponga el procesamiento XML con gt-xsd-core involucrado en el análisis, cuando los documentos contienen una referencia a un esquema XML externo. La clase Esquemas de gt-xsd-core no utiliza el EntityResolver proporcionado por ParserHandler (si se configuró alguno). Esto también afecta a los usuarios del almacén de datos gt-wfs-ng donde el parámetro de conexión ENTITY_RESOLVER no se utilizaba correctamente. Esta vulnerabilidad está corregida en GeoTools 33.1, 32.3, 31.7 y 28.6.1, GeoServer 2.27.1, 2.26.3 y 2.25.7, y GeoNetwork 4.4.8 y 4.2.13.
Impacto
Puntuación base 3.x
9.90
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://docs.geoserver.org/latest/en/user/production/config.html#production-config-external-entities
- https://github.com/geonetwork/core-geonetwork/pull/8757
- https://github.com/geonetwork/core-geonetwork/pull/8803
- https://github.com/geonetwork/core-geonetwork/pull/8812
- https://github.com/geonetwork/core-geonetwork/security/advisories/GHSA-2p76-gc46-5fvc
- https://github.com/geoserver/geoserver/security/advisories/GHSA-jj54-8f66-c5pc
- https://github.com/geotools/geotools/security/advisories/GHSA-826p-4gcg-35vw