Sono due le vulnerabilità segnalate sul software open source GeoServer utilizzato per l’elaborazione di dati geospaziali. L’avviso di sicurezza originario è stato emesso dalla CISA e rimbalzato dalle altre agenzie di sicurezza mondiali, tra cui anche l’ACN.

Tuttavia, la stessa ACN già dal primo dicembre aveva aggiornato per una delle due vulnerabilità la gravità e l’alto impatto sistemico con elementi di Proof of Concept per lo sfruttamento.

È consigliabile procedere subito a un’azione di mitigazione.

Vulnerabilità critiche in GeoServer: avvisi CISA e aggiornamenti

GeoServer è un server open source che consente agli utenti di condividere e modificare dati geospaziali.

Le vulnerabilità rilevate sono la numero CVE-2025-21621 (Vulnerabilità di GeoServer Reflected Cross-Site Scripting (XSS) nel formato HTML WMS GetFeatureInfo) e la CVE-2025-58360 (vulnerabilità a un attacco di entità esterne XML non autenticate (XXE) tramite la funzionalità WMS GetMap).

La seconda è la più grave (CVSS 8.2) anche perché già sfruttata e per questo inserita nell’apposito database che le elenca: Database KEV (Known Exploited Vulnerability). L’avviso CISA evidenzia infatti, come il codice exploit fosse in circolazione già da fine novembre, dando agli aggressori un vantaggio preventivo rispetto all’applicazione coordinata delle patch a livello mondiale.

Le versioni del software GeoServer che sono soggette alla CVE-2025-58360, sono tutte quelle precedenti alla 2.25.5 inclusa e dalla versione 2.26.0 alla 2.26.1. È stata invece corretta nelle versioni 2.25.6, 2.26.2, 2.27.0, 2.28.0 e 2.28.1.

Il suggerimento all’azione di mitigazione è raccomandato dalla CISA entro il primo gennaio 2026.

Cronistoria delle segnalazioni

La CISA aveva segnalato entrambe le vulnerabilità fin da fine novembre nel bollettino periodico (Vulnerability Summary for the Week of November 24, 2025) ma solo l’11 dicembre l’agenzia americana ha alzato il livello di criticità per la CVE-2025-58360 sulla base di prove di sfruttamento attivo senza tuttavia fornire ulteriori dettagli.

Anche l’ACN a fine novembre aveva diramato un avviso di sicurezza con entrambe le vulnerabilità, aggiornando tuttavia fin dal primo dicembre i dati della seconda vulnerabilità con gli elementi di Proof of Concept per lo sfruttamento della CVE-2025-58360 e aggiornando il livello di impatto al grado di Sistemico.

Altre entità mondiali hanno rimbalzato gli alert originari di fine novembre e gli aggiornamenti di dicembre nei loro siti: Centro Canadese per la Cybersecurity, il NIST americano.

Vulnerabilità critiche in GeoServer: il rischio materiale

La vulnerabilità CVE-2025-affligge la gestione dell’input XML da parte di GeoServer.

Il parser XML configurato in modo non sicuro, non riesce a limitare correttamente i riferimenti a entità esterne e quindi una richiesta contraffatta può forzare il server a recuperare file locali o a effettuare richieste di rete interne, consentendo la divulgazione di file non autenticati e malevoli contro i sistemi a cui l’istanza di GeoServer può accedere.

Oppure, lo sfruttamento riuscito della vulnerabilità potrebbe consentire a un aggressore di accedere a file arbitrari dal file system del server, condurre una falsificazione delle richieste lato server (Server-Side Request Forgery -SSRF) per interagire con i sistemi interni o lanciare un attacco denial-of-service (DoS) esaurendo le risorse.

L’avviso dell’agenzia di cyber sicurezza americana sottolinea come “questo tipo di vulnerabilità rappresenti un frequente vettore di attacco per i malintenzionati e rappresenta un rischio significativo per l’impresa federale”.

Certis Foster, responsabile senior della ricerca di minacce presso Deepwatch, spiega il motivo della criticità di livello federale. “Il software GeoServer è una piattaforma strategica di raccolta di informazioni per gli stati-nazione avversari” affermando in aggiunta che “non si tratta di aziende che monitorano il meteo o la logistica; si tratta di una ricognizione coordinata delle infrastrutture su larga scala”.

Il rischio critico riguarda la possibilità per “agli avversari di estrarre informazioni geospaziali collegate direttamente ad asset energetici, sistemi meteorologici e postazioni militari”.

In aggiunta a queste considerazioni è anche utile osservare che non è la prima volta che sono attivamente sfruttate vulnerabilità del software GeoServer.

Dopo gli avvisi di giugno e luglio 2024 relativi a falle precedenti, questo avviso della CISA americana è il terzo che riguarda una vulnerabilità di GeoServer come attivamente sfruttata in poco più di un anno (precedentemente se ne trova uno con PoC di sfruttamento in data 2023 dal sito ACN).

E questo fatto, in aggiunta a tutte le altre casistiche, è visto dagli esperti di sicurezza come un segnale di obiettivo ricorrente e non occasionale.

Il sito stesso del prodotto elenca tutte le vulnerabilità divulgate pubblicamente e già patchate (relative a giugno 2025) per la massima trasparenza e visibilità.

Come intervenire

Poiché sebbene le patch siano presenti le diverse organizzazioni potrebbero non essere in grado di implementarle abbastanza velocemente, è raccomandabile come misura provvisoria, l’isolamento delle istanze di GeoServer interessate utilizzando controlli di microsegmentazione per limitare i movimenti laterali, pur mantenendo le operazioni.

L’approssimarsi del periodo natalizio complica ulteriormente sia le operazioni di difesa preventiva sia l’applicazione delle patch, ma è noto che proprio sotto le feste possono verificarsi attacchi e questo tipo di vulnerabilità che si presta per operazioni sistemiche.

Quindi, sebbene l’avviso CISA indichi come data limite di intervento il primo gennaio 2026, vi sono esperti che suggeriscono un’azione prima del Natale 2025.

Inoltre, anche se l’avviso CISA specifica chiaramente la richiesta di intervenire a tutte le agenzie federali, l’esortazione ad intervenire attivamente per limitare il rischio è estesa anche a “tutte le organizzazioni per ridurre la propria esposizione agli attacchi informatici dando priorità alla tempestiva correzione delle vulnerabilità del catalogo KEV come parte delle proprie pratiche di gestione delle vulnerabilità”.