CVE-2025-30220｜GeoServer XXE漏洞

0x00 前言

GeoServer是基于Java 的软件服务器，允许用户查看和编辑地理空间数据。使用开放地理空间联盟（OGC）提出的开放标准，GeoServer在地图创建和数据共享方面具有极大的灵活性。

GeoServer允许您向世界显示您的空间信息。实施Web地图服务（WMS）标准，GeoServer可以创建各种输出格式的地图。一个免费的地图库 OpenLayers 已集成到GeoServer中，从而使地图生成快速简便。GeoServer基于GeoTools（一种开放源 Java GIS 工具包）构建。

兼容WMS和WFS特性，支持PostgreSQL、Shapefile、ArcSDE、Oracle、VPF、MySQL、MapInfo，支持上百种投影，能够将网络地图输出为jpeg、gif、png、SVG、KML等格式，能够运行在任何基于J2EE/Servlet容器之上，嵌入MapBuilder支持AJAX的地图客户端OpenLayers，除此之外还包括许多其他的特性。

0x01 漏洞描述

CVE-2024-29198：

该系统在未设置PROXY_BASE_URL时，允许未经身份验证的用户通过Demo 端点向服务器发起请求。这种不当配置使得攻击者能够利用GeoServer的功能来发送恶意请求到内部或外部网络中的其他服务器，从而导致服务器端请求伪造 (SSRF)。

CVE-2025-30220：

GeoTools库使用Eclipse XSD库来处理XML数据，并且未正确配置EntityResolver，这导致了XML外部实体 (XXE)漏洞。当GeoServer或GeoNetwork调用GeoTools库处理XML数据时，攻击者可以注入恶意的XML实体，进而读取本地文件或发起其他攻击。

0x02 CVE编号

CVE-2025-30220

0x03 影响版本

SSRF：

GeoServer: version<2.24.4，version<2.25.2

XXE：

GeoServer: version<2.27.1，version<2.26.3，version<2.25.7
Geotools:  
version<33.1，version<32.3，version<31.7，version<28.6.1
geonetwork: version<4.4.8，version<4.2.13

0x04 漏洞详情

(来源于长亭安全应急响应中心)

(来源于长亭安全应急响应中心)

0x05 参考链接

https://github.com/geoserver/geoserver/security/advisories/GHSA-jj54-8f66-c5pc

https://github.com/geoserver/geoserver/security/advisories/GHSA-r4hf-r8gj-jgw2