ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Perşembe günü, vahşi doğada aktif istismarın kanıtlarına dayanarak, Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna OSGeo GeoServer’ı etkileyen yüksek önemde bir güvenlik açığı ekledi.
Söz konusu güvenlik açığı CVE-2025-58360 (CVSS puanı: 8.2), 2.25.5 dahil olmak üzere önceki ve 2.26.0 ile 2.26.1 arasındaki tüm sürümleri etkileyen, kimliği doğrulanmamış bir XML Harici Varlık (XXE) kusuru. 2.25.6, 2.26.2, 2.27.0, 2.28.0 ve 2.28.1 sürümlerinde yamalar uygulandı. Yapay zeka (AI) destekli güvenlik açığı keşif platformu XBOW’un sorunu bildirdiği kabul edildi.
CISA, “OSGeo GeoServer, uygulama belirli bir uç nokta /geoserver/wms operasyonu GetMap aracılığıyla XML girdisini kabul ettiğinde ortaya çıkan XML harici varlık referansı güvenlik açığının uygunsuz bir şekilde kısıtlanmasını içeriyor ve bir saldırganın XML isteği içinde harici varlıkları tanımlamasına izin verebilir.” dedi.
Aşağıdaki paketler bu kusurdan etkileniyor:
- docker.osgeo.org/geoserver
- org.geoserver.web:gs-web-app (Maven)
- org.geoserver:gs-wms (Maven)
Açık kaynak yazılımın geliştiricileri geçen ayın sonlarında yayınlanan bir uyarıda, bu güvenlik açığından başarıyla yararlanılmasının, bir saldırganın sunucunun dosya sistemindeki rastgele dosyalara erişmesine, dahili sistemlerle etkileşimde bulunmak için Sunucu Tarafı İstek Sahteciliği (SSRF) yapmasına veya kaynakları tüketerek bir hizmet reddi (DoS) saldırısı başlatmasına olanak verebileceğini söyledi.
Şu anda güvenlik kusurunun gerçek dünyadaki saldırılarda nasıl kötüye kullanıldığına dair hiçbir ayrıntı mevcut değil. Ancak Kanada Siber Güvenlik Merkezi’nin 28 Kasım 2025 tarihli bir bülteninde “CVE-2025-58360’a yönelik bir istismarın ortalıkta mevcut olduğu” belirtildi.
Aynı yazılımdaki bir başka kritik kusurun (CVE-2024-36401, CVSS puanı: 9,8) geçen yıl birden fazla tehdit aktörü tarafından istismar edildiğini belirtmekte fayda var. Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarının güvenliğini sağlamak için 1 Ocak 2026’ya kadar gerekli düzeltmeleri uygulamaları tavsiye ediliyor.