CVE-2025-58360

plus petit que 1 minute de lecture

Mis à jour : November 27, 2025

Vulnérabilité XXE dans GeoServer

Une faille de sécurité, identifiée comme CVE-2025-58360, a été découverte dans GeoServer. Elle concerne la manière dont l’application traite les données XML reçues sur le point de terminaison /geoserver/wms, plus précisément lors de l’opération GetMap. Un attaquant peut exploiter cette faiblesse en insérant des entités externes dans une requête XML.

Cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires présents sur le serveur et de réaliser des attaques par falsification de requête côté serveur (SSRF), lui donnant la possibilité d’interagir avec des systèmes internes.

Les versions de GeoServer antérieures à 2.25.6, les versions de 2.26.0 à 2.26.2, ainsi que les versions antérieures à 2.27.0 sont concernées.

Points Clés :

Type de vulnérabilité : XML External Entity (XXE)
Produit affecté : GeoServer
Point de terminaison ciblé : /geoserver/wms (opération GetMap)
Conséquences : Lecture de fichiers arbitraires, Server-Side Request Forgery (SSRF).

Versions affectées :

Avant 2.25.6
2.26.0 à 2.26.2
Avant 2.27.0

Recommandations : Mettre à jour GeoServer vers les versions 2.25.6, 2.26.3 ou 2.27.0 pour corriger la vulnérabilité.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-58360

Vulnérabilité XXE dans GeoServer

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast