A CISA múlt héten figyelmeztetést adott ki az OSGeo GeoServer szoftvert érintő, aktívan kihasznált sérülékenység kapcsán. A CVE-2025-58360 azonosítón nyomon követett, kritikus súlyosságú (CVSS-pontszáma: 9,8) hiba XML External Entity (XXE)-típusú sebezhetőség, amely lehetővé teheti tetszőleges fájlok elérését, szerveroldali kéréshamisítás (SSRF) végrehajtását, illetve szolgáltatásmegtagadás (DoS) előidézését. A javítás a 2025. november 25-én kiadott GeoServer 2.28.1 verzióban elérhető, a támogatott verzióágakban pedig legalább 2.25.6, 2.26.3 vagy 2.27.0 kiadásra szükséges frissíteni. A frissítéssel egy közepes súlyosságú CVE-2025-21621 azonosítón nyomon követett XSS-sebezhetőséget is javítottak.
Az érintett csomagok:
- a docker.osgeo[.]org/geoserver,
- az org.geoserver[.]web:gs-web-app (Maven),
- az org[.]geoserver:gs-wms (Maven).
A Wiz kiberbiztonsági vállalat és a kanadai Cyber Centre riasztásai alapján a sérülékenységhez készült exploit november vége óta elérhető. A CISA a CVE-2025-58360 sebezhetőséget felvette a Known Exploited Vulnerabilities (KEV)-katalógusába. Az ügynökség emellett júniusban a CVE-2022-24816, júliusban pedig a CVE-2024-36401 aktív kihasználására is figyelmeztetett.