ស្លាកសញ្ញា CISA ត្រូវបានកេងប្រវ័ញ្ចយ៉ាងសកម្មលើ GeoServer XXE

ទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធសហរដ្ឋអាមេរិក (CISA) នៅថ្ងៃព្រហស្បតិ៍ បានបន្ថែមកំហុសសុវត្ថិភាពធ្ងន់ធ្ងរមួយដែលប៉ះពាល់ដល់ OSGeo GeoServer ទៅក្នុងកាតាឡុក Known Exploited Vulnerabilities (KEV) របស់ខ្លួន ដោយផ្អែកលើភស្តុតាងនៃការកេងប្រវ័ញ្ចសកម្មនៅក្នុងពិភពពិត។

ចំណុចខ្សោយដែលកំពុងត្រូវបានលើកឡើងគឺ CVE-2025-58360 (ពិន្ទុ CVSS: 8.2) ដែលជាកំហុស XML External Entity (XXE) ដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដែលប៉ះពាល់ដល់គ្រប់កំណែទាំងអស់មុន និងរួមទាំង 2.25.5 និងចាប់ពីកំណែ 2.26.0 ដល់ 2.26.1។ វាត្រូវបានជួសជុលនៅក្នុងកំណែ 2.25.6, 2.26.2, 2.27.0, 2.28.0 និង 2.28.1។ វេទិកាស្វែងរកចំណុចខ្សោយដែលដំណើរការដោយបញ្ញាសិប្បនិម្មិត (AI) XBOW ត្រូវបានទទួលស្គាល់សម្រាប់ការរាយការណ៍ពីបញ្ហានេះ។

CISA បាននិយាយនៅក្នុងសេចក្តីថ្លែងការណ៍មួយថា "OSGeo GeoServer មានការរឹតបន្តឹងមិនត្រឹមត្រូវនៃភាពងាយរងគ្រោះនៃឯកសារយោងអង្គភាពខាងក្រៅ XML ដែលកើតឡើងនៅពេលដែលកម្មវិធីទទួលយកការបញ្ចូល XML តាមរយៈប្រតិបត្តិការចំណុចបញ្ចប់ /geoserver/wms ជាក់លាក់ GetMap ហើយអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារកំណត់អង្គភាពខាងក្រៅនៅក្នុងសំណើ XML"។

កញ្ចប់ខាងក្រោមរងផលប៉ះពាល់ដោយចំណុចខ្សោយនេះ -

-docker.osgeo.org/geoserver

-org.geoserver.web:gs-web-app (Maven)

-org.geoserver:gs-wms (Maven)

ការកេងប្រវ័ញ្ចដោយជោគជ័យនៃចំណុចខ្សោយនេះអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលប្រើឯកសារតាមអំពើចិត្តពីប្រព័ន្ធឯកសាររបស់ម៉ាស៊ីនមេ ធ្វើការក្លែងបន្លំសំណើចំហៀងម៉ាស៊ីនមេ (SSRF) ដើម្បីធ្វើអន្តរកម្មជាមួយប្រព័ន្ធខាងក្នុង ឬចាប់ផ្តើមការវាយប្រហារបដិសេធសេវាកម្ម (DoS) ដោយការប្រើប្រាស់ធនធានអស់ អ្នកថែទាំកម្មវិធីប្រភពបើកចំហបាននិយាយនៅក្នុងការជូនដំណឹងដែលបានចេញផ្សាយនៅចុងខែមុន។

បច្ចុប្បន្ននេះមិនមានព័ត៌មានលម្អិតអំពីរបៀបដែលចំណុចខ្សោយសុវត្ថិភាពកំពុងត្រូវបានរំលោភបំពាននៅក្នុងការវាយប្រហារក្នុងពិភពពិតនោះទេ។ ទោះជាយ៉ាងណាក៏ដោយ ព្រឹត្តិបត្រមួយពីមជ្ឈមណ្ឌលសន្តិសុខតាមអ៊ីនធឺណិតកាណាដានៅថ្ងៃទី 28 ខែវិច្ឆិកា ឆ្នាំ 2025 បាននិយាយថា "ការកេងប្រវ័ញ្ចសម្រាប់ CVE-2025-58360 មាននៅក្នុងធម្មជាតិ"។

គួរកត់សម្គាល់ថា ចំណុចខ្វះខាតធ្ងន់ធ្ងរមួយទៀតនៅក្នុងកម្មវិធីដូចគ្នា (CVE-2024-36401 ពិន្ទុ CVSS: 9.8) ត្រូវបានកេងប្រវ័ញ្ចដោយអ្នកគំរាមកំហែងជាច្រើនក្នុងរយៈពេលមួយឆ្នាំកន្លងមក។ ទីភ្នាក់ងារសាខាប្រតិបត្តិស៊ីវិលសហព័ន្ធ (FCEB) ត្រូវបានណែនាំឱ្យអនុវត្តការជួសជុលដែលត្រូវការត្រឹមថ្ងៃទី 1 ខែមករា ឆ្នាំ 2026 ដើម្បីការពារបណ្តាញរបស់ពួកគេ។