Resumo
A agência norte‑americana CISA adicionou uma vulnerabilidade zero‑day do OSGeo GeoServer ao seu catálogo de Known Exploited Vulnerabilities (KEV). A falha (CVE‑2025‑58360) é uma condição de XXE no endpoint /geoserver/wms durante operações GetMap e está sendo explorada ativamente.
Descoberta e escopo / O que mudou agora
Pesquisadores confirmaram que o GeoServer aceita entidades XML externas no processamento de requisições GetMap via /geoserver/wms, permitindo a definição de entidades maliciosas que podem levar à leitura de arquivos locais, SSRF ou condições de negação de serviço.
O reconhecimento de exploração ativa levou a CISA a colocar a CVE‑2025‑58360 no catálogo KEV, o que, nos termos da agência, indica risco prático e requer atenção urgente, especialmente em agências federais.
Vetor e exploração / Mitigações
A exploração usa requisições XML especialmente construídas que referenciam entidades externas. Impactos possíveis listados nas fontes incluem leitura de arquivos sensíveis no servidor, interação com sistemas backend via SSRF e negação de serviço em alguns cenários.
Como ações imediatas, a CISA orienta aplicação dos patches fornecidos pelo fornecedor; quando o software estiver em serviços de nuvem, seguir Binding Operational Directive (BOD) 22‑01 para mitigações; e, se necessário, considerar a descontinuação temporária do uso do produto até a correção.
Impacto e alcance / Setores afetados
GeoServer é amplamente usado para compartilhamento e visualização de dados geoespaciais em setores público e privado (governo, instituições geográficas, utilities, empresas de mapeamento). A inclusão em KEV e a obrigação de mitigação para agências federais indicam que tanto infraestruturas críticas quanto serviços regionais podem estar sob risco.
Limites das informações / O que falta saber
As matérias consultadas não apresentam indicadores de comprometimento detalhados nem estatísticas públicas sobre número de instâncias exploradas. Também não há dados públicos extensos sobre campanhas responsáveis pela exploração; a intervenção da CISA indica atividade suficiente para justificar ação rápida, mas a escala completa permanece sem divulgação.
Recomendações operacionais
- Inventariar todas as instâncias GeoServer expostas e identificar aquelas que processam GetMap em /geoserver/wms;
- aplicar correções do fornecedor imediatamente quando existentes;
- para ambientes em nuvem, seguir instruções da CISA/BOD 22‑01 e confirmar com provedores a aplicação de mitigação;
- quarentenar serviços suspeitos e monitorar logs de acesso XML e padrões de requisições anômalas que inclua referência a entidades externas;
- considerar bloqueios de egress apropriados para reduzir risco de SSRF e limitar sistemas que podem ser alcançados a partir dos servidores GeoServer.
Próximos passos e acompanhamento
Administradores devem acompanhar comunicados do projeto GeoServer e da CISA para indicadores adicionais e patches. Organizações federais dos EUA têm prazo de mitigação definido por BOD 22‑01; outras entidades devem avaliar risco e priorizar a correção conforme impacto nos seus ambientes.
Fonte
Resumo baseado em alertas e cobertura do Cyber Security News e em reportagens correlatas que documentaram a inclusão da CVE‑2025‑58360 no catálogo KEV da CISA.