La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una falla de seguridad de alta gravedad que afecta a OSGeo GeoServer a su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en evidencia de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-58360 (Puntuación CVSS: 8.2), una falla de entidad externa XML (XXE) no autenticada que afecta a todas las versiones anteriores a la 2.25.5 inclusive, y desde las versiones 2.26.0 a 2.26.1. Se ha parcheado en las versiones 2.25.6, 2.26.2, 2.27.0, 2.28.0 y 2.28.1. La plataforma de descubrimiento de vulnerabilidades XBOW, impulsada por inteligencia artificial (IA), ha sido reconocida por informar el problema.
«OSGeo GeoServer contiene una restricción inadecuada de la vulnerabilidad de referencia de entidad externa XML que ocurre cuando la aplicación acepta entrada XML a través de un punto final específico /geoserver/wms operación GetMap y podría permitir a un atacante definir entidades externas dentro de la solicitud XML», dijo CISA.
Los siguientes paquetes se ven afectados por la falla:
- docker.osgeo.org/geoserver
- org.geoserver.web:gs-web-app (Maven)
- org.geoserver:gs-wms (Maven)
La explotación exitosa de la vulnerabilidad podría permitir a un atacante acceder a archivos arbitrarios desde el sistema de archivos del servidor, realizar una falsificación de solicitudes del lado del servidor (SSRF) para interactuar con los sistemas internos o lanzar un ataque de denegación de servicio (DoS) agotando los recursos, dijeron los mantenedores del software de código abierto en una alerta publicada a finales del mes pasado.
Actualmente no hay detalles disponibles sobre cómo se está abusando del defecto de seguridad en ataques del mundo real. Sin embargo, un boletín del Centro Canadiense de Seguridad Cibernética del 28 de noviembre de 2025 decía que «existe un exploit para CVE-2025-58360 en la naturaleza».
Vale la pena señalar que otra falla crítica en el mismo software (CVE-2024-36401, puntuación CVSS: 9.8) ha sido explotada por múltiples actores de amenazas durante el año pasado. Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones requeridas antes del 1 de enero de 2026 para proteger sus redes.
