CVE-2025-30220

Nome do Software Vulnerável e Versões Afetadas Versões do GeoServer anteriores a 2.27.1 Versões do GeoServer anteriores a 2.26.3 Versões do GeoServer anteriores a 2.25.7 Versões do GeoTools anteriores a 33.1 Versões do GeoTools anteriores a 32.3 Versões do GeoTools anteriores a 31.7 Versões do GeoTools anteriores a 28.6.1 Versões do GeoNetwork anteriores a 4.4.8 Versões do GeoNetwork anteriores a 4.2.13

Descrição O problema está relacionado ao uso da biblioteca Eclipse XSD na classe Schema do GeoTools, que é vulnerável a exploits de Entidade Externa XML (XXE). Isso afeta usuários que expõem o processamento XML com o gt-xsd-core envolvido no parsing quando os documentos contêm uma referência a um esquema XML externo. A classe Schemas do gt-xsd-core não está utilizando o EntityResolver fornecido pelo ParserHandler. Isso também impacta usuários do DataStore gt-wfs-ng onde o parâmetro de conexão ENTITY RESOLVER não estava sendo usado conforme o pretendido.

Recomendações Para versões do GeoServer anteriores a 2.27.1, atualize para a versão 2.27.1 ou posterior. Para versões do GeoServer anteriores a 2.26.3, atualize para a versão 2.26.3 ou posterior. Para versões do GeoServer anteriores a 2.25.7, atualize para a versão 2.25.7 ou posterior. Para versões do GeoTools anteriores a 33.1, atualize para a versão 33.1 ou posterior. Para versões do GeoTools anteriores a 32.3, atualize para a versão 32.3 ou posterior. Para versões do GeoTools anteriores a 31.7, atualize para a versão 31.7 ou posterior. Para versões do GeoTools anteriores a 28.6.1, atualize para a versão 28.6.1 ou posterior. Para versões do GeoNetwork anteriores a 4.4.8, atualize para a versão 4.4.8 ou posterior. Para versões do GeoNetwork anteriores a 4.2.13, atualize para a versão 4.2.13 ou posterior.