Vulnerability Details CVE-2025-30220
GeoServer is an open source server that allows users to share and edit geospatial data. GeoTools Schema class use of Eclipse XSD library to represent schema data structure is vulnerable to XML External Entity (XXE) exploit. This impacts whoever exposes XML processing with gt-xsd-core involved in parsing, when the documents carry a reference to an external XML schema. The gt-xsd-core Schemas class is not using the EntityResolver provided by the ParserHandler (if any was configured). This also impacts users of gt-wfs-ng DataStore where the ENTITY_RESOLVER connection parameter was not being used as intended. This vulnerability is fixed in GeoTools 33.1, 32.3, 31.7, and 28.6.1, GeoServer 2.27.1, 2.26.3, and 2.25.7, and GeoNetwork 4.4.8 and 4.2.13.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.038
EPSS Ranking 87.7%
CVSS Severity
CVSS v3 Score 9.9
References
- https://docs.geoserver.org/latest/en/user/production/config.html#production-config-external-entities
- https://github.com/geonetwork/core-geonetwork/pull/8757
- https://github.com/geonetwork/core-geonetwork/pull/8803
- https://github.com/geonetwork/core-geonetwork/pull/8812
- https://github.com/geonetwork/core-geonetwork/security/advisories/GHSA-2p76-gc46-5fvc
- https://github.com/geoserver/geoserver/security/advisories/GHSA-jj54-8f66-c5pc
- https://github.com/geotools/geotools/security/advisories/GHSA-826p-4gcg-35vw
Products affected by CVE-2025-30220
-
cpe:2.3:a:geotools:geotools:10
-
cpe:2.3:a:geotools:geotools:10.0
-
cpe:2.3:a:geotools:geotools:10.1
-
cpe:2.3:a:geotools:geotools:10.2
-
cpe:2.3:a:geotools:geotools:10.3
-
cpe:2.3:a:geotools:geotools:10.4
-
cpe:2.3:a:geotools:geotools:10.5
-
cpe:2.3:a:geotools:geotools:10.6
-
cpe:2.3:a:geotools:geotools:10.7
-
cpe:2.3:a:geotools:geotools:10.8
-
cpe:2.3:a:geotools:geotools:11
-
cpe:2.3:a:geotools:geotools:11.0
-
cpe:2.3:a:geotools:geotools:11.1
-
cpe:2.3:a:geotools:geotools:11.2
-
cpe:2.3:a:geotools:geotools:11.3
-
cpe:2.3:a:geotools:geotools:11.4
-
cpe:2.3:a:geotools:geotools:11.5
-
cpe:2.3:a:geotools:geotools:12
-
cpe:2.3:a:geotools:geotools:12.0
-
cpe:2.3:a:geotools:geotools:12.0.1
-
cpe:2.3:a:geotools:geotools:12.1
-
cpe:2.3:a:geotools:geotools:12.2
-
cpe:2.3:a:geotools:geotools:12.3
-
cpe:2.3:a:geotools:geotools:12.4
-
cpe:2.3:a:geotools:geotools:12.5
-
cpe:2.3:a:geotools:geotools:13
-
cpe:2.3:a:geotools:geotools:13.0
-
cpe:2.3:a:geotools:geotools:13.1
-
cpe:2.3:a:geotools:geotools:13.2
-
cpe:2.3:a:geotools:geotools:13.3
-
cpe:2.3:a:geotools:geotools:13.4
-
cpe:2.3:a:geotools:geotools:13.5
-
cpe:2.3:a:geotools:geotools:13.6
-
cpe:2.3:a:geotools:geotools:14
-
cpe:2.3:a:geotools:geotools:14.0
-
cpe:2.3:a:geotools:geotools:14.1
-
cpe:2.3:a:geotools:geotools:14.2
-
cpe:2.3:a:geotools:geotools:14.3
-
cpe:2.3:a:geotools:geotools:14.4
-
cpe:2.3:a:geotools:geotools:14.5
-
cpe:2.3:a:geotools:geotools:15
-
cpe:2.3:a:geotools:geotools:15.0
-
cpe:2.3:a:geotools:geotools:15.1
-
cpe:2.3:a:geotools:geotools:15.2
-
cpe:2.3:a:geotools:geotools:15.3
-
cpe:2.3:a:geotools:geotools:15.4
-
cpe:2.3:a:geotools:geotools:16
-
cpe:2.3:a:geotools:geotools:16.0
-
cpe:2.3:a:geotools:geotools:16.1
-
cpe:2.3:a:geotools:geotools:16.2
-
cpe:2.3:a:geotools:geotools:16.3
-
cpe:2.3:a:geotools:geotools:16.4
-
cpe:2.3:a:geotools:geotools:16.5
-
cpe:2.3:a:geotools:geotools:17
-
cpe:2.3:a:geotools:geotools:17.0
-
cpe:2.3:a:geotools:geotools:17.1
-
cpe:2.3:a:geotools:geotools:17.2
-
cpe:2.3:a:geotools:geotools:17.3
-
cpe:2.3:a:geotools:geotools:17.4
-
cpe:2.3:a:geotools:geotools:17.5
-
cpe:2.3:a:geotools:geotools:18
-
cpe:2.3:a:geotools:geotools:18.0
-
cpe:2.3:a:geotools:geotools:18.1
-
cpe:2.3:a:geotools:geotools:18.2
-
cpe:2.3:a:geotools:geotools:18.3
-
cpe:2.3:a:geotools:geotools:18.4
-
cpe:2.3:a:geotools:geotools:18.5
-
cpe:2.3:a:geotools:geotools:19
-
cpe:2.3:a:geotools:geotools:19.0
-
cpe:2.3:a:geotools:geotools:19.1
-
cpe:2.3:a:geotools:geotools:19.2
-
cpe:2.3:a:geotools:geotools:19.3
-
cpe:2.3:a:geotools:geotools:19.4
-
cpe:2.3:a:geotools:geotools:2.2.0
-
cpe:2.3:a:geotools:geotools:2.2.1
-
cpe:2.3:a:geotools:geotools:2.2.2
-
cpe:2.3:a:geotools:geotools:2.3.0
-
cpe:2.3:a:geotools:geotools:2.3.1
-
cpe:2.3:a:geotools:geotools:2.3.2
-
cpe:2.3:a:geotools:geotools:2.3.3
-
cpe:2.3:a:geotools:geotools:2.3.4
-
cpe:2.3:a:geotools:geotools:2.3.5
-
cpe:2.3:a:geotools:geotools:2.4.0
-
cpe:2.3:a:geotools:geotools:2.4.1
-
cpe:2.3:a:geotools:geotools:2.4.2
-
cpe:2.3:a:geotools:geotools:2.4.3
-
cpe:2.3:a:geotools:geotools:2.4.4
-
cpe:2.3:a:geotools:geotools:2.4.5
-
cpe:2.3:a:geotools:geotools:2.5.0
-
cpe:2.3:a:geotools:geotools:2.5.1
-
cpe:2.3:a:geotools:geotools:2.5.2
-
cpe:2.3:a:geotools:geotools:2.5.3
-
cpe:2.3:a:geotools:geotools:2.5.4
-
cpe:2.3:a:geotools:geotools:2.5.5
-
cpe:2.3:a:geotools:geotools:2.5.6
-
cpe:2.3:a:geotools:geotools:2.5.7
-
cpe:2.3:a:geotools:geotools:2.5.8
-
cpe:2.3:a:geotools:geotools:2.6
-
cpe:2.3:a:geotools:geotools:2.6.0
-
cpe:2.3:a:geotools:geotools:2.6.1
-
cpe:2.3:a:geotools:geotools:2.6.2
-
cpe:2.3:a:geotools:geotools:2.6.3
-
cpe:2.3:a:geotools:geotools:2.6.4
-
cpe:2.3:a:geotools:geotools:2.6.5
-
cpe:2.3:a:geotools:geotools:2.6.6
-
cpe:2.3:a:geotools:geotools:2.7
-
cpe:2.3:a:geotools:geotools:2.7.0
-
cpe:2.3:a:geotools:geotools:2.7.0.1
-
cpe:2.3:a:geotools:geotools:2.7.1
-
cpe:2.3:a:geotools:geotools:2.7.2
-
cpe:2.3:a:geotools:geotools:2.7.3
-
cpe:2.3:a:geotools:geotools:2.7.4
-
cpe:2.3:a:geotools:geotools:2.7.5
-
cpe:2.3:a:geotools:geotools:20
-
cpe:2.3:a:geotools:geotools:20.0
-
cpe:2.3:a:geotools:geotools:20.1
-
cpe:2.3:a:geotools:geotools:20.2
-
cpe:2.3:a:geotools:geotools:20.3
-
cpe:2.3:a:geotools:geotools:20.4
-
cpe:2.3:a:geotools:geotools:20.5
-
cpe:2.3:a:geotools:geotools:21
-
cpe:2.3:a:geotools:geotools:21.0
-
cpe:2.3:a:geotools:geotools:21.1
-
cpe:2.3:a:geotools:geotools:21.2
-
cpe:2.3:a:geotools:geotools:21.3
-
cpe:2.3:a:geotools:geotools:21.4
-
cpe:2.3:a:geotools:geotools:21.5
-
cpe:2.3:a:geotools:geotools:22
-
cpe:2.3:a:geotools:geotools:22.0
-
cpe:2.3:a:geotools:geotools:22.1
-
cpe:2.3:a:geotools:geotools:22.2
-
cpe:2.3:a:geotools:geotools:22.3
-
cpe:2.3:a:geotools:geotools:22.4
-
cpe:2.3:a:geotools:geotools:22.5
-
cpe:2.3:a:geotools:geotools:23
-
cpe:2.3:a:geotools:geotools:23.0
-
cpe:2.3:a:geotools:geotools:23.1
-
cpe:2.3:a:geotools:geotools:23.2
-
cpe:2.3:a:geotools:geotools:23.3
-
cpe:2.3:a:geotools:geotools:23.4
-
cpe:2.3:a:geotools:geotools:23.5
-
cpe:2.3:a:geotools:geotools:24
-
cpe:2.3:a:geotools:geotools:24.0
-
cpe:2.3:a:geotools:geotools:24.1
-
cpe:2.3:a:geotools:geotools:24.2
-
cpe:2.3:a:geotools:geotools:24.3
-
cpe:2.3:a:geotools:geotools:24.4
-
cpe:2.3:a:geotools:geotools:24.5
-
cpe:2.3:a:geotools:geotools:24.6
-
cpe:2.3:a:geotools:geotools:24.7
-
cpe:2.3:a:geotools:geotools:25
-
cpe:2.3:a:geotools:geotools:25.0
-
cpe:2.3:a:geotools:geotools:25.1
-
cpe:2.3:a:geotools:geotools:25.2
-
cpe:2.3:a:geotools:geotools:25.3
-
cpe:2.3:a:geotools:geotools:25.4
-
cpe:2.3:a:geotools:geotools:25.5
-
cpe:2.3:a:geotools:geotools:25.6
-
cpe:2.3:a:geotools:geotools:25.7
-
cpe:2.3:a:geotools:geotools:26
-
cpe:2.3:a:geotools:geotools:26.0
-
cpe:2.3:a:geotools:geotools:26.1
-
cpe:2.3:a:geotools:geotools:26.2
-
cpe:2.3:a:geotools:geotools:26.3
-
cpe:2.3:a:geotools:geotools:26.4
-
cpe:2.3:a:geotools:geotools:26.5
-
cpe:2.3:a:geotools:geotools:26.6
-
cpe:2.3:a:geotools:geotools:26.7
-
cpe:2.3:a:geotools:geotools:27
-
cpe:2.3:a:geotools:geotools:27.0
-
cpe:2.3:a:geotools:geotools:27.1
-
cpe:2.3:a:geotools:geotools:27.2
-
cpe:2.3:a:geotools:geotools:27.3
-
cpe:2.3:a:geotools:geotools:27.4
-
cpe:2.3:a:geotools:geotools:28
-
cpe:2.3:a:geotools:geotools:28.0
-
cpe:2.3:a:geotools:geotools:28.1
-
cpe:2.3:a:geotools:geotools:28.2
-
cpe:2.3:a:geotools:geotools:28.3
-
cpe:2.3:a:geotools:geotools:28.4
-
cpe:2.3:a:geotools:geotools:28.5
-
cpe:2.3:a:geotools:geotools:28.6
-
cpe:2.3:a:geotools:geotools:29.0
-
cpe:2.3:a:geotools:geotools:29.1
-
cpe:2.3:a:geotools:geotools:29.2
-
cpe:2.3:a:geotools:geotools:29.3
-
cpe:2.3:a:geotools:geotools:29.4
-
cpe:2.3:a:geotools:geotools:29.5
-
cpe:2.3:a:geotools:geotools:29.6
-
cpe:2.3:a:geotools:geotools:30.0
-
cpe:2.3:a:geotools:geotools:30.1
-
cpe:2.3:a:geotools:geotools:30.2
-
cpe:2.3:a:geotools:geotools:30.3
-
cpe:2.3:a:geotools:geotools:30.4
-
cpe:2.3:a:geotools:geotools:30.5
-
cpe:2.3:a:geotools:geotools:31.0
-
cpe:2.3:a:geotools:geotools:31.1
-
cpe:2.3:a:geotools:geotools:31.2
-
cpe:2.3:a:geotools:geotools:31.3
-
cpe:2.3:a:geotools:geotools:31.4
-
cpe:2.3:a:geotools:geotools:31.5
-
cpe:2.3:a:geotools:geotools:31.6
-
cpe:2.3:a:geotools:geotools:32.0
-
cpe:2.3:a:geotools:geotools:32.1
-
cpe:2.3:a:geotools:geotools:32.2
-
cpe:2.3:a:geotools:geotools:33.0
-
cpe:2.3:a:geotools:geotools:8.0
-
cpe:2.3:a:geotools:geotools:8.1
-
cpe:2.3:a:geotools:geotools:8.2
-
cpe:2.3:a:geotools:geotools:8.3
-
cpe:2.3:a:geotools:geotools:8.4
-
cpe:2.3:a:geotools:geotools:8.5
-
cpe:2.3:a:geotools:geotools:8.6
-
cpe:2.3:a:geotools:geotools:8.7
-
cpe:2.3:a:geotools:geotools:9.0
-
cpe:2.3:a:geotools:geotools:9.1
-
cpe:2.3:a:geotools:geotools:9.2
-
cpe:2.3:a:geotools:geotools:9.3
-
cpe:2.3:a:geotools:geotools:9.4
-
cpe:2.3:a:geotools:geotools:9.5
-
cpe:2.3:a:osgeo:geonetwork:4.2.0
-
cpe:2.3:a:osgeo:geonetwork:4.4.0
-
cpe:2.3:a:osgeo:geoserver:2.0.0
-
cpe:2.3:a:osgeo:geoserver:2.1.3
-
cpe:2.3:a:osgeo:geoserver:2.1.4
-
cpe:2.3:a:osgeo:geoserver:2.10.0
-
cpe:2.3:a:osgeo:geoserver:2.10.1
-
cpe:2.3:a:osgeo:geoserver:2.10.2
-
cpe:2.3:a:osgeo:geoserver:2.10.3
-
cpe:2.3:a:osgeo:geoserver:2.10.4
-
cpe:2.3:a:osgeo:geoserver:2.10.5
-
cpe:2.3:a:osgeo:geoserver:2.11.0
-
cpe:2.3:a:osgeo:geoserver:2.11.1
-
cpe:2.3:a:osgeo:geoserver:2.11.2
-
cpe:2.3:a:osgeo:geoserver:2.11.3
-
cpe:2.3:a:osgeo:geoserver:2.11.4
-
cpe:2.3:a:osgeo:geoserver:2.12.0
-
cpe:2.3:a:osgeo:geoserver:2.12.1
-
cpe:2.3:a:osgeo:geoserver:2.12.2
-
cpe:2.3:a:osgeo:geoserver:2.12.3
-
cpe:2.3:a:osgeo:geoserver:2.12.4
-
cpe:2.3:a:osgeo:geoserver:2.12.5
-
cpe:2.3:a:osgeo:geoserver:2.13.0
-
cpe:2.3:a:osgeo:geoserver:2.13.1
-
cpe:2.3:a:osgeo:geoserver:2.13.2
-
cpe:2.3:a:osgeo:geoserver:2.13.3
-
cpe:2.3:a:osgeo:geoserver:2.13.4
-
cpe:2.3:a:osgeo:geoserver:2.14.0
-
cpe:2.3:a:osgeo:geoserver:2.14.1
-
cpe:2.3:a:osgeo:geoserver:2.14.2
-
cpe:2.3:a:osgeo:geoserver:2.14.3
-
cpe:2.3:a:osgeo:geoserver:2.14.4
-
cpe:2.3:a:osgeo:geoserver:2.14.5
-
cpe:2.3:a:osgeo:geoserver:2.15.0
-
cpe:2.3:a:osgeo:geoserver:2.15.1
-
cpe:2.3:a:osgeo:geoserver:2.15.2
-
cpe:2.3:a:osgeo:geoserver:2.15.3
-
cpe:2.3:a:osgeo:geoserver:2.15.4
-
cpe:2.3:a:osgeo:geoserver:2.15.5
-
cpe:2.3:a:osgeo:geoserver:2.16.0
-
cpe:2.3:a:osgeo:geoserver:2.16.1
-
cpe:2.3:a:osgeo:geoserver:2.16.2
-
cpe:2.3:a:osgeo:geoserver:2.16.3
-
cpe:2.3:a:osgeo:geoserver:2.16.4
-
cpe:2.3:a:osgeo:geoserver:2.16.5
-
cpe:2.3:a:osgeo:geoserver:2.17.0
-
cpe:2.3:a:osgeo:geoserver:2.17.1
-
cpe:2.3:a:osgeo:geoserver:2.17.2
-
cpe:2.3:a:osgeo:geoserver:2.17.3
-
cpe:2.3:a:osgeo:geoserver:2.17.4
-
cpe:2.3:a:osgeo:geoserver:2.17.5
-
cpe:2.3:a:osgeo:geoserver:2.18.0
-
cpe:2.3:a:osgeo:geoserver:2.18.1
-
cpe:2.3:a:osgeo:geoserver:2.18.2
-
cpe:2.3:a:osgeo:geoserver:2.18.3
-
cpe:2.3:a:osgeo:geoserver:2.18.4
-
cpe:2.3:a:osgeo:geoserver:2.18.5
-
cpe:2.3:a:osgeo:geoserver:2.18.6
-
cpe:2.3:a:osgeo:geoserver:2.18.7
-
cpe:2.3:a:osgeo:geoserver:2.19.0
-
cpe:2.3:a:osgeo:geoserver:2.19.1
-
cpe:2.3:a:osgeo:geoserver:2.19.2
-
cpe:2.3:a:osgeo:geoserver:2.19.3
-
cpe:2.3:a:osgeo:geoserver:2.19.4
-
cpe:2.3:a:osgeo:geoserver:2.19.5
-
cpe:2.3:a:osgeo:geoserver:2.19.6
-
cpe:2.3:a:osgeo:geoserver:2.19.7
-
cpe:2.3:a:osgeo:geoserver:2.2
-
cpe:2.3:a:osgeo:geoserver:2.2.1
-
cpe:2.3:a:osgeo:geoserver:2.2.2
-
cpe:2.3:a:osgeo:geoserver:2.2.3
-
cpe:2.3:a:osgeo:geoserver:2.2.4
-
cpe:2.3:a:osgeo:geoserver:2.2.5
-
cpe:2.3:a:osgeo:geoserver:2.20.0
-
cpe:2.3:a:osgeo:geoserver:2.20.1
-
cpe:2.3:a:osgeo:geoserver:2.20.2
-
cpe:2.3:a:osgeo:geoserver:2.20.3
-
cpe:2.3:a:osgeo:geoserver:2.20.4
-
cpe:2.3:a:osgeo:geoserver:2.20.7
-
cpe:2.3:a:osgeo:geoserver:2.21.4
-
cpe:2.3:a:osgeo:geoserver:2.22.0
-
cpe:2.3:a:osgeo:geoserver:2.22.2
-
cpe:2.3:a:osgeo:geoserver:2.24.4
-
cpe:2.3:a:osgeo:geoserver:2.25.0
-
cpe:2.3:a:osgeo:geoserver:2.25.1
-
cpe:2.3:a:osgeo:geoserver:2.25.2
-
cpe:2.3:a:osgeo:geoserver:2.25.6
-
cpe:2.3:a:osgeo:geoserver:2.26.0
-
cpe:2.3:a:osgeo:geoserver:2.26.2
-
cpe:2.3:a:osgeo:geoserver:2.27.0
-
cpe:2.3:a:osgeo:geoserver:2.3.0
-
cpe:2.3:a:osgeo:geoserver:2.3.1
-
cpe:2.3:a:osgeo:geoserver:2.3.2
-
cpe:2.3:a:osgeo:geoserver:2.3.3
-
cpe:2.3:a:osgeo:geoserver:2.3.4
-
cpe:2.3:a:osgeo:geoserver:2.3.5
-
cpe:2.3:a:osgeo:geoserver:2.4.0
-
cpe:2.3:a:osgeo:geoserver:2.4.1
-
cpe:2.3:a:osgeo:geoserver:2.4.2
-
cpe:2.3:a:osgeo:geoserver:2.4.3
-
cpe:2.3:a:osgeo:geoserver:2.4.4
-
cpe:2.3:a:osgeo:geoserver:2.4.5
-
cpe:2.3:a:osgeo:geoserver:2.4.6
-
cpe:2.3:a:osgeo:geoserver:2.4.7
-
cpe:2.3:a:osgeo:geoserver:2.4.8
-
cpe:2.3:a:osgeo:geoserver:2.5
-
cpe:2.3:a:osgeo:geoserver:2.5.1
-
cpe:2.3:a:osgeo:geoserver:2.5.2
-
cpe:2.3:a:osgeo:geoserver:2.5.3
-
cpe:2.3:a:osgeo:geoserver:2.5.4
-
cpe:2.3:a:osgeo:geoserver:2.5.5
-
cpe:2.3:a:osgeo:geoserver:2.5.5.1
-
cpe:2.3:a:osgeo:geoserver:2.6.0
-
cpe:2.3:a:osgeo:geoserver:2.6.1
-
cpe:2.3:a:osgeo:geoserver:2.6.2
-
cpe:2.3:a:osgeo:geoserver:2.6.3
-
cpe:2.3:a:osgeo:geoserver:2.6.4
-
cpe:2.3:a:osgeo:geoserver:2.6.5
-
cpe:2.3:a:osgeo:geoserver:2.7.0
-
cpe:2.3:a:osgeo:geoserver:2.7.1
-
cpe:2.3:a:osgeo:geoserver:2.7.1.1
-
cpe:2.3:a:osgeo:geoserver:2.7.2
-
cpe:2.3:a:osgeo:geoserver:2.7.3
-
cpe:2.3:a:osgeo:geoserver:2.7.4
-
cpe:2.3:a:osgeo:geoserver:2.7.5
-
cpe:2.3:a:osgeo:geoserver:2.7.6
-
cpe:2.3:a:osgeo:geoserver:2.8.0
-
cpe:2.3:a:osgeo:geoserver:2.8.1
-
cpe:2.3:a:osgeo:geoserver:2.8.2
-
cpe:2.3:a:osgeo:geoserver:2.8.3
-
cpe:2.3:a:osgeo:geoserver:2.8.4
-
cpe:2.3:a:osgeo:geoserver:2.8.5
-
cpe:2.3:a:osgeo:geoserver:2.9.0
-
cpe:2.3:a:osgeo:geoserver:2.9.1
-
cpe:2.3:a:osgeo:geoserver:2.9.2
-
cpe:2.3:a:osgeo:geoserver:2.9.3
-
cpe:2.3:a:osgeo:geoserver:2.9.4