“关键漏洞目录”新增OSGeo GeoServer WMS GetMap XML外部实体注入漏洞(2025年12月12日)

关键漏洞目录

2025-12-12

导读：摄星科技“关键漏洞目录”新增OSGeo GeoServer WMS GetMap XML外部实体注入漏洞，关键漏洞目录漏洞总数增加到1481个。

2025年12月12日摄星科技“关键漏洞目录”新增OSGeo GeoServer WMS GetMap XML外部实体注入漏洞。

OSGeo GeoServer WMS GetMap XML外部实体注入漏洞
‍

已被添加到CISA KEV、关键漏洞目录

CVSS v3.1向量：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L

CVSS v3.1评分：8.2

漏洞级别：高危

漏洞描述

GeoServer是GeoServer开源的一个用Java编写的开源软件服务器。允许用户共享和编辑地理空间数据。GeoServer 2.26.0版本至2.26.2之前版本和2.25.6之前版本存在不恰当的XML外部实体引用限制漏洞，该漏洞发生在应用程序通过特定端点/geoserver/wms操作GetMap接收XML输入时，可能允许攻击者在XML请求中定义外部实体。

GeoServer 2.26.0版本至2.26.2之前版本和2.25.6之前版本

修复建议

请升级到2.26.2、2.25.6、2.27.0、2.28.0、2.28.1或更高版本，参考链接：

https://osgeo-org.atlassian.net/browse/GEOS-11922

https://github.com/geoserver/geoserver/releases

服务和支持

“关键漏洞目录”由摄星科技维护，可通过https://www.vulinsight.com.cn/keyFlawCatalog查看详细内容。并可下载CSV、JSON格式全量漏洞数据。

企业用户可通过玄猫定制化情报SaaS平台（xm.vulinsight.com.cn）、摄星漏洞管控平台获取服务和支持。

【声明】内容源于网络

关键漏洞目录

北京摄星科技有限公司“关键漏洞目录”更新发布信息

内容 88

粉丝 0

关键漏洞目录北京摄星科技有限公司“关键漏洞目录”更新发布信息

总阅读131

粉丝0

内容88