REST 覆盖/数据存储 API 中的 GeoServer 任意文件重命名漏洞 (CVE-2024-23634)
CVE编号
CVE-2024-23634利用情况
暂无补丁情况
N/A披露时间
2024-03-21漏洞描述
GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。在版本2.23.5和2.24.2之前存在一个任意文件重命名漏洞,允许经过身份验证的管理员通过REST覆盖存储或数据存储API修改存储,将任意文件和目录重命名为不以'.zip'结尾的名称。存储文件上传在解压文件之前,如果zip文件没有'.zip'扩展名,将重命名为'.zip'扩展名。这对于文件和URL上传方法是可以接受的,因为文件将位于数据目录的特定子目录中,但是在使用外部上传方法时,这将允许任意文件和目录被重命名。重命名GeoServer文件很可能会导致拒绝服务,要么完全阻止GeoServer运行,要么有效地删除特定资源(如工作空间、图层或样式)。在某些情况下,重命名GeoServer文件可能会恢复该文件的默认设置,这可能相对无害,比如删除联系信息,或者产生更严重的后果,比如允许用户发起OGC请求,而这些请求在定制设置下本应被阻止。重命名非GeoServer文件的影响取决于具体环境,虽然拒绝服务是一个可能的结果。版本2.23.5和2.24.2包含了对此问题的修复。解决建议
"将组件 org.geoserver:gs-restconfig 升级至 2.24.2 及以上版本""将组件 org.geoserver:gs-restconfig 升级至 2.23.5 及以上版本"- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 高
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论