Cve-2025-58360

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta gravidade no OSGeo GeoServer em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2025-58360, possui uma pontuação CVSS de 8.2 e afeta todas as versões anteriores e incluindo 2.25.5, bem como as versões 2.26.0 a 2.26.1. Essa falha de entidade externa XML (XXE) permite que atacantes acessem arquivos arbitrários do sistema de arquivos do servidor, realizem ataques de Server-Side Request Forgery (SSRF) e até mesmo ataques de negação de serviço (DoS). A CISA recomenda que as agências federais apliquem as correções necessárias até 1º de janeiro de 2026. Embora não haja detalhes sobre como a vulnerabilidade está sendo explorada atualmente, um boletim do Centro Canadense de Segurança Cibernética indicou que um exploit para essa vulnerabilidade já está ativo. Além disso, uma falha crítica anterior no mesmo software, CVE-2024-36401, também foi explorada por diversos atores de ameaças no último ano.