关键信息 漏洞名称 XML External Entity (XXE) Processing Vulnerability in XSD schema handling 严重性 CVSS v3 基本指标: 9.9 / 10 攻击向量: 网络 攻击复杂度: 低 所需权限: 无 用户交互: 无 范围: 改变 机密性影响: 高 完整性影响: 低 可用性影响: 低 影响的包和版本 org.geotools:gt-wfs-ng (Maven) - 受影响版本: =33.0, >=32.0, >=29.0,=32.0, >=29.0,<=31.6, <28.6.1 - 修复版本: 33.1, 32.3, 31.7, 28.6.1 描述 GeoTools Schema 类使用 Eclipse XSD 库来表示模式数据结构,容易受到 XML 外部实体 (XXE) 攻击。 影响 此漏洞影响所有暴露 XML 处理并涉及解析外部 XML 模式的 的用户。此外,还影响 DataStore 中未按预期使用 ENTITY_RESOLVER 连接参数的用户。 解决方案 GeoTools API 更改允许提供 EntityResolver 到以下方法: Schemas.parse(location, locators, resolvers, uriHandlers, entityResolver); Schemas.findSchemas(Configuration configuration, EntityResolver entityResolver); 通过此 API 更改, WFS DataStore ENTITY_RESOLVER 参数现在被使用。 参考 GHSA-jj54-8f66-c5pc: 描述了 漏洞对 GeoServer WFS 协议的影响。 GHSA-2p76-qc46-5fvc: 描述了 和 漏洞对 GeoNetwork WFS Index 功能的影响。 CVE ID CVE-2025-30220 弱点 CWE-611 致谢 报告者: aaiime 修复开发者: jodygarnett