La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una rotura de seguridad de reincorporación pesantez que afecta a OSGeo GeoServer a su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en evidencia de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-58360 (Puntuación CVSS: 8.2), una rotura de entidad externa XML (XXE) no autenticada que afecta a todas las versiones anteriores a la 2.25.5 inclusive, y desde las versiones 2.26.0 a 2.26.1. Se ha parcheado en las versiones 2.25.6, 2.26.2, 2.27.0, 2.28.0 y 2.28.1. La plataforma de descubrimiento de vulnerabilidades XBOW, impulsada por inteligencia sintético (IA), ha sido reconocida por informar el problema.
“OSGeo GeoServer contiene una restricción inadecuada de la vulnerabilidad de relato de entidad externa XML que ocurre cuando la aplicación acepta entrada XML a través de un punto final específico /geoserver/wms operación GetMap y podría permitir a un atacante concretar entidades externas internamente de la solicitud XML”, dijo CISA.
Los siguientes paquetes se ven afectados por la rotura:
- docker.osgeo.org/geoserver
- org.geoserver.web:gs-web-app (Maven)
- org.geoserver:gs-wms (Maven)
La explotación exitosa de la vulnerabilidad podría permitir a un atacante ingresar a archivos arbitrarios desde el sistema de archivos del servidor, realizar una falsificación de solicitudes del banda del servidor (SSRF) para interactuar con los sistemas internos o divulgar un ataque de denegación de servicio (DoS) agotando los capital, dijeron los mantenedores del software de código destapado en una alerta publicada a finales del mes pasado.
Actualmente no hay detalles disponibles sobre cómo se está abusando del defecto de seguridad en ataques del mundo positivo. Sin secuestro, un boletín del Centro Canadiense de Seguridad Cibernética del 28 de noviembre de 2025 decía que “existe un exploit para CVE-2025-58360 en la naturaleza”.
Vale la pena señalar que otra rotura crítica en el mismo software (CVE-2024-36401, puntuación CVSS: 9.8) ha sido explotada por múltiples actores de amenazas durante el año pasado. Se recomienda a las agencias del Poder Ejecutor Civil Federal (FCEB) que apliquen las correcciones requeridas antaño del 1 de enero de 2026 para proteger sus redes.
