基本信息
漏洞编号: CVE-2025-30220
危险等级: 高危
影响版本: GeoServer 和 GeoNetwork 使用的 GeoTools 受影响版本
受影响组件: GeoTools 解析库
验证状态: 已验证
修复状态: 官方已发布修复版本
漏洞详情
GeoServer 是一款遵循 OGC 标准的开源地理信息服务器。CVE-2025-30220 是 GeoServer 及 GeoNetwork 所依赖的 GeoTools 组件中的 XML External Entity (XXE) 漏洞。攻击者可构造特定 XML 请求,通过 XXE 注入在受影响服务器中解析外部实体,导致敏感信息(如服务器配置文件、环境变量等)泄漏,甚至进一步攻击内网服务。该漏洞源自 GeoTools 对 XML 输入未做严格的实体处理,GeoServer 和 GeoNetwork 均受影响。
影响范围
影响版本
GeoServer 与 GeoNetwork 依赖的受影响 GeoTools 版本(具体版本请参考官方公告)
受影响的产品
- GeoServer(所有依赖受影响 GeoTools 版本的发行版)
- GeoNetwork(所有依赖受影响 GeoTools 版本的发行版)
- 任何基于受影响 GeoTools 组件的地理信息应用
验证方法
- 确认 GeoServer、GeoNetwork 所用 GeoTools 的具体版本(可在项目依赖或 about 页面查看)
- 构造带有外部实体引用的恶意 XML 请求,观察能否读取服务器上的本地文件等敏感信息
修复方案
方案一:版本升级(推荐)
升级 GeoServer、GeoNetwork 及其依赖的 GeoTools 到官方已修复的最新版本。
参照官方安全公告获取受影响与修复的具体版本信息,并及时完成升级。
方案二:临时缓解措施
如无法立刻升级,建议在 XML 解析前禁用外部实体解析,并加强服务器的访问控制,限制对敏感文件的访问权限。同时,监控异常 XML 请求流量,防范潜在的攻击尝试。