CISA ve GeoServer XXE Açığı: Tehlikenin Boyutu
U.S. Cybersecurity and Infrastructure Security Agency (CISA), OSGeo GeoServer’e ilişkin yüksek öncelikli bir güvenlik açığını, bilinen istismar edilen güvenlik açıkları (KEV) kataloguna ekledi. Bu karar, açıkların aktif olarak kullanıldığına dair kanıtların ortaya çıkmasıyla alındı. Peki, bu güvenlik açığı nedir ve ne tür tehlikelere yol açabilir?
CVE-2025-58360 Nedir?
Bu güvenlik açığı, CVE-2025-58360 olarak adlandırılmakta ve CVSS puanı 8.2 olan doğrulanmamış bir XML External Entity (XXE) hatasıdır. Bu açık, tüm GeoServer sürümlerini etkilemektedir; özellikle 2.25.5 ve önceki sürümler ile 2.26.0 ve 2.26.1 sürümlerini kapsamaktadır. CISA’nın yayınladığı bilgilere göre, bu hata, belirtildiği gibi uygun olmayan bir XML dışsal varlık referansı kısıtlaması nedeniyle ortaya çıkmaktadır.
Açığın Detayları ve Etkileri
Açık, uygulamanın belirli bir uç noktadan XML girişi alması durumunda, yani /geoserver/wms operasyonu üzerinden bir GetMap isteği ile istismar edilebilir. Bu durum, bir saldırganın XML isteği içindeki dışsal varlıkları tanımlamasına olanak tanıyabilir.
Başarılı bir istismar, saldırgana şu hakları kazandırabilir:
- Sunucunun dosya sistemi üzerinden rastgele dosyalara erişim.
- Server-Side Request Forgery (SSRF) saldırıları ile iç sistemlerle etkileşim.
- Kaynakları tüketerek Denial-of-Service (DoS) saldırıları gerçekleştirme.
Hedef Alınan Paketler
Bu XXE açığı, birkaç belirli paketi etkilemektedir:
docker.osgeo.org/geoserverorg.geoserver.web:gs-web-app(Maven)org.geoserver:gs-wms(Maven)
Bu paketlerin güvenlik açığına karşı güncellenmesi şiddetle önerilmektedir.
Güncellemeler ve Çözüm Yolları
GeoServer, bu açığı kapatmak için bir dizi yeni sürüm yayınlamıştır. Etkilenen sürümlerin güncellenmesi için önerilen sürümler şunlardır:
- 2.25.6
- 2.26.2
- 2.27.0
- 2.28.0
- 2.28.1
XBOW, bu güvenlik açığının tespit edilmesinde kullanılan yapay zeka destekli bir zafiyet keşif platformudur ve durumu raporlayan önemli bir kaynak olmuştur.
Sonuç ve Tavsiyeler
Geçtiğimiz yıl içinde, aynı yazılımda başka kritik bir açıklığın (CVE-2024-36401) çok sayıda kötü niyetli kullanıcı tarafından istismar edildiği de göz önüne alınmalıdır. Federal sivil yürütme dalı (FCEB) ajansları, 1 Ocak 2026 tarihine kadar bu güvenlik yamalarını uygulamaları konusunda uyarılmıştır.
Sonuç olarak, CISA ve diğer siber güvenlik kurumları, bu tür güvenlik ihlallerine karşı dikkatli olunmasını ve gerekli güncellemelerin zamanında yapılmasını tavsiye etmektedir. Açıkların işleyişi ve etkileri hakkında bilgi sahibi olmak, her türlü güvenlik ihlale karşı bir adım önde olmayı sağlar.
