أمرت CISA الفيدراليين بتصحيح ثغرة Geoserver المستغلة بشكل نشط

أمرت CISA الوكالات الفيدرالية الأمريكية بتصحيح ثغرة أمنية خطيرة في GeoServer يتم استغلالها الآن بشكل نشط في هجمات حقن XML External Entity (XXE).

في مثل هذه الهجمات، تتم معالجة مدخلات XML التي تحتوي على إشارة إلى كيان خارجي بواسطة محلل XML ضعيف التكوين، مما يسمح للجهات الفاعلة في مجال التهديد بشن هجمات رفض الخدمة، أو الوصول إلى البيانات السرية، أو إجراء تزوير طلب من جانب الخادم (SSRF) للتفاعل مع الأنظمة الداخلية.

الثغرة الأمنية (التي يتم تتبعها باسم”https://nvd.nist.gov/vuln/detail/cve-2025-58360″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2025-58360) التي تم الإبلاغ عنها بواسطة CISA يوم الخميس هي ثغرة أمنية غير مصادق عليها في XML External Entity (XXE) في GeoServer 2.26.1 والإصدارات السابقة (خادم مفتوح المصدر لمشاركة البيانات الجغرافية المكانية عبر الإنترنت) والتي يمكن استغلالها لاسترداد الملفات التعسفية من الخوادم الضعيفة.

“An XML External Entity (XXE) vulnerability was identified affecting GeoServer 2.26.1 and prior versions. The application accepts XML input through a specific endpoint /geoserver/wms operation GetMap,” أ”https://osgeo-org.atlassian.net/browse/GEOS-11922″ الهدف=”_blank” rel=”nofollow noopener”> يوضح استشاري GeoServer.

“However, this input is not sufficiently sanitized or restricted, allowing an attacker to define external entities within the XML request.”

مجموعة مراقبة الإنترنت Shadowserver الآن”https://dashboard.shadowserver.org/statistics/combined/time-series/?date_range=7&source=http_vulnerable&source=http_vulnerable6&tag=geoserver%2B&dataset=unique_ips&limit=100&group_by=geo&stacking=stacked&auto_update=on” الهدف=”_blank” rel=”nofollow noopener”> يتتبع 2,451 عنوان IP مع بصمات GeoServer، في حين تقارير شودان”https://www.shodan.io/search?query=title%3A%22GeoServer%3A+Welcome%22″ الهدف=”_blank” rel=”nofollow noopener”> أكثر من 14000 حالة مكشوفة على الانترنت.

CISA لديها الآن”https://www.cisa.gov/news-events/alerts/2025/12/11/cisa-adds-one-known-exploited-vulnerability-catalog” الهدف=”_blank” rel=”nofollow noopener”>أضيفت CVE-2025-58360 إلى”https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2025-58360″ الهدف=”_blank” rel=”nofollow noopener”>كتالوج الثغرات الأمنية المستغلة المعروفة (KEV).، محذرًا من أن الخلل يتم استغلاله بشكل نشط في الهجمات ويأمر وكالات السلطة التنفيذية المدنية الفيدرالية (FCEB) بتصحيح الخوادم بحلول الأول من يناير 2026، وفقًا لما ينص عليه التوجيه التشغيلي الملزم (BOD) 22-01 الصادر في نوفمبر 2021.

وكالات FCEB هي وكالات غير عسكرية ضمن السلطة التنفيذية للولايات المتحدة، مثل وزارة الطاقة، ووزارة الخزانة، ووزارة الأمن الداخلي، ووزارة الصحة والخدمات الإنسانية.

على الرغم من أن BOD 22-01 لا ينطبق إلا على الوكالات الفيدرالية، إلا أن وكالة الأمن السيبراني الأمريكية حثت المدافعين عن الشبكات على إعطاء الأولوية لتصحيح هذه الثغرة الأمنية في أقرب وقت ممكن.

“These types of vulnerabilities are frequent attack vectors for malicious cyber actors and pose significant risks to the federal enterprise,” قال CISA. “Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.”

في العام الماضي، CISA”https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=GeoServer” الهدف=”_blank” rel=”nofollow noopener”> وأضاف أيضا إدخال كود OSGeo GeoServer JAI-EXT (“http://nvd.nist.gov/vuln/detail/cve-2022-24816″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2022-24816) وحقن تقييم GeoTools (“http://nvd.nist.gov/vuln/detail/cve-2024-36401″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2024-36401) نقاط الضعف في قائمة العيوب الأمنية المستغلة بشكل نشط.

وكما كشفت وكالة الأمن السيبراني في سبتمبر/أيلول، فقد تم استغلال هذا الأخير”https://www.bleepingcomputer.com/news/security/cisa-says-hackers-breached-federal-agency-using-geoserver-exploit/” الهدف=”_blank” rel=”nofollow noopener”> لاختراق وكالة حكومية أمريكية لم يذكر اسمها في عام 2024 بعد اختراق مثيل GeoServer غير المصحح.