Tus mapas comprometidos: hackers hicieron un inventario global de GeoServer en la red
Desconocidos prueban sistemáticamente la fortaleza de cada entrada abierta
En enero de 2026, en medio de la habitual oleada de escaneos automatizados en Internet, destacó una dirección: los atacantes empezaron a sondear con más frecuencia GeoServer y los servicios relacionados. Según la telemetría de F5 Labs, la actividad de solicitudes a rutas características de GeoServer aumentó un 50% en el mes con respecto a diciembre.
El aumento del interés se relaciona con que GeoServer con frecuencia se mantiene accesible desde la red externa para trabajar con datos geoespaciales y los estándares OGC, incluidos WMS, WFS y OWS. Esa apertura facilita las integraciones, pero al mismo tiempo convierte al sistema en un objetivo atractivo: el conjunto de operaciones se reconoce con facilidad de forma remota y el tratamiento de parámetros complejos amplía la superficie de ataque.
En el tráfico de enero predominaban las solicitudes GET (93%); sin embargo, la proporción de POST (7%) también es importante, ya que a través del cuerpo de la petición a menudo se envían comprobaciones más "pesadas" y intentos de impacto. Las solicitudes se agruparon en torno a tres objetivos: la comprobación de servicios OGC (especialmente WFS), la búsqueda de la interfaz web de GeoServer y la validación de endpoints WMS.
En los registros esto suele aparecer como una serie de accesos a /geoserver/, luego a /geoserver/web/ y a las páginas de marcadores de Wicket, tras lo cual comienzan comprobaciones masivas de capacidades mediante GetCapabilities y la enumeración de Stored Queries en WFS 2.0. De forma separada se registraron accesos al gestor de autenticación /geoserver/j_spring_security_check, pruebas POST y intentos de alcanzar la documentación REST.
Los autores del informe señalan que las solicitudes aisladas por sí mismas pueden parecer rutinarias, pero la repetición y las cadenas de direcciones suelen indicar preparación para acciones posteriores: enumeración de capas y capacidades, pruebas de ramas vulnerables en el procesamiento de parámetros y, en casos concretos, la entrega de carga maliciosa. Una señal adicional de actividad "instrumental" fue la suplantación del User-Agent por navegadores habituales, el uso de cadenas obsoletas y una proporción notable de solicitudes con User-Agent vacío.
La atención a GeoServer se aviva por descripciones recientes de vulnerabilidades. En el material se mencionan CVE-2025-58360, relacionada con XXE en el procesamiento de WMS GetMap, que potencialmente puede conllevar lectura de archivos, SSRF o denegación de servicio, y también CVE-2024-36401, que describe ejecución remota de código sin autenticación mediante parámetros especialmente formados en varias operaciones OGC. Se subraya, además, que las herramientas suelen comprobar no un único problema, sino un conjunto, por lo que defectos antiguos continúan apareciendo en los escaneos durante años.
Además de GeoServer, F5 Labs destacó el top general de vulnerabilidades más explotadas en enero de 2026. El líder sigue siendo CVE-2017-9841 en PHPUnit, con 70 867 intentos de explotación. En segundo lugar está CVE-2025-55182, que afecta a React Server Components y la deserialización insegura, con 19 624 intentos. A continuación aparecen CVE-2019-9082 en ThinkPHP (4152), CVE-2024-4577 en Apache PHP-CGI (4089) y CVE-2022-24847 en GeoServer, relacionada con JNDI Lookup (2455). En la dinámica a largo plazo se observa una caída marcada en la actividad alrededor de CVE-2023-1389 y un aumento simultáneo del interés por CVE-2023-25157.