Les agences fédérales doivent corriger la vulnérabilité critique XXE (CVE-2025-58360) dans GeoServer une fois que les attaquants auront pris une longueur d’avance.
La CISA tire la sonnette d’alarme concernant une vulnérabilité critique de GeoServer qui est activement exploitée dans la nature, ordonnant aux agences fédérales de mettre immédiatement à jour les correctifs.
La faille, suivie comme CVE-2025-58360, est une vulnérabilité d’entité externe XML (XXE) non authentifiée affectant les versions 2.26.1 et antérieures de GeoServer. Lorsqu’il est exploité, le bug permet aux attaquants de récupérer des fichiers arbitraires sur des serveurs vulnérables, permettant ainsi le vol de données, les attaques par déni de service ou la falsification de requêtes côté serveur (SSRF) pouvant exposer les systèmes internes.
GeoServer, une plate-forme open source pour la publication et le partage de données géospatiales, est largement utilisée dans les environnements fédéraux civils, scientifiques et liés à la défense. « GeoServer est largement utilisé par les agences fédérales qui gèrent les données terrestres, aquatiques et géoscientifiques », a déclaré Louis Eichenbaum, directeur technique fédéral de ColorTokens, soulignant qu’il fonctionne souvent aux côtés d’ArcGIS et reste connecté aux systèmes SIG d’entreprise, même dans des déploiements autrement segmentés ou isolés.
CISA a ajouté cette semaine CVE-2025-58360 à son catalogue de vulnérabilités exploitées connues (KEV), citant une exploitation active. Les avis de Wiz et du Centre canadien pour la cybersécurité indiquent que du code d’exploitation circule depuis fin novembre, donnant aux attaquants une longueur d’avance avant que des correctifs coordonnés puissent être déployés.
Une plateforme exposée avec une réelle valeur d’intelligence
CVE-2025-58360 (CVSS 9,8 sur 10) provient de la gestion par GeoServer des entrées XML à l’aide d’un analyseur XML configuré de manière non sécurisée qui ne parvient pas à restreindre correctement les références d’entités externes. Une requête contrefaite peut forcer le serveur à récupérer des fichiers locaux ou à effectuer des requêtes réseau internes, permettant ainsi la divulgation de fichiers non authentifiés et un potentiel SSRF sur les systèmes auxquels l’instance GeoServer peut accéder.
Bien que les bogues XXE constituent une classe de vulnérabilité familière, les chercheurs préviennent que le rôle de GeoServer au sein des environnements gouvernementaux rend cette faille particulièrement sensible. Selon Shadowserver, au moins 2 451 adresses IP avec des empreintes GeoServer sont actuellement observables, tandis que Shodan rapporte plus de 14 000 instances GeoServer exposées en ligne.
« Ce qui me préoccupe le plus à propos du CVE-2025-58360, c’est que GeoServer est devenu une plateforme de collecte de renseignements stratégiques pour les adversaires des États-nations », a déclaré Certis Foster, responsable principal de la chasse aux menaces chez Deepwatch. « Il ne s’agit plus d’entreprises qui suivent la météo ou la logistique ; il s’agit d’une reconnaissance coordonnée des infrastructures à grande échelle. »
Foster a averti qu’un accès non authentifié via le bug pourrait permettre aux adversaires d’extraire des renseignements géospatiaux directement liés aux actifs énergétiques, aux systèmes météorologiques et aux emplacements militaires.
L’alerte de CISA marque la troisième vulnérabilité de GeoServer signalée comme activement exploitée en un peu plus d’un an, après les avertissements de juin 2024 et juillet 2024 liés à des failles antérieures. Le modèle suggère que GeoServer n’est plus une cible accidentelle mais récurrente.
Pourquoi les correctifs seuls peuvent ne pas suffire
Bien que la CISA ait rendu obligatoire l’application de correctifs aux agences fédérales, les experts avertissent que la rapidité est souvent limitée par les réalités opérationnelles, notamment la découverte des actifs, la cartographie des dépendances et les fenêtres de gestion des changements, qui peuvent ralentir même les équipes disposant de ressources suffisantes.
« Lorsque des vulnérabilités sont révélées sur des plates-formes largement déployées comme GeoServer, presque aucune agence fédérale ne peut raisonnablement les corriger assez rapidement », a noté Eichenbaum. « Même s’ils le pouvaient, au moment où un avis est rendu public, l’adversaire pourrait déjà l’exploiter. » Cette réalité renforce la nécessité d’une posture « prête à faire face aux violations » fondée sur les principes Zero Trust, a-t-il ajouté.
Venky Raju, directeur technique de ColorTokens, a fait écho à cette préoccupation en déclarant : « les développeurs open source réagissent rapidement avec des correctifs, mais les entreprises peuvent ne pas être en mesure de corriger les serveurs en raison de défis internes ». À titre provisoire, il a recommandé d’isoler les instances GeoServer affectées à l’aide de contrôles de microsegmentation pour restreindre les mouvements latéraux, tout en maintenant les opérations de la mission.
Alors que l’avis de la CISA s’appliquait aux agences du pouvoir exécutif civil fédéral (FCEB), leur ordonnant de mettre à jour le correctif avant le 26 décembre 2025, il « exhortait fortement » toutes les organisations à remédier au problème en temps opportun.
