Résumé
Le 11 décembre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans OSGeo GeoServer, un logiciel open source pour gérer et partager des données géographiques.
Référencée sous CVE-2025-58360, cette vulnérabilité permet à un attaquant d’exploiter une faiblesse dans la gestion des entités XML externes via l’endpoint /geoserver/wms GetMap, compromettant ainsi l’intégrité, la confidentialité et la disponibilité du système.
Solutions
Appliquez les correctifs selon les instructions du fournisseur.
La faille est activement exploitée : oui
Détails techniques
Score CVSS : 9.8
EPSS : 71.92%
Risques : Exécution de code arbitraire
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Versions 2.26.0 jusqu’à 2.26.2 et toutes les versions antérieures à 2.25.6
Documentation
- Bulletin de sécurité de geoserver
https://github.com/geoserver/geoserver/security/advisories/GHSA-fjf5-xgmq-5525
- Détails NIST CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-58360
- CVE Details
https://www.cvedetails.com/cve/CVE-2025-58360/
- CWE :