REST 资源 API 中的 GeoServer 存储跨站点脚本 (XSS) 漏洞 (CVE-2023-51445)
CVE编号
CVE-2023-51445利用情况
暂无补丁情况
N/A披露时间
2024-03-21漏洞描述
GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。在2.23.3版本之前和2.24.0版本中存在一个存储型跨站脚本(XSS)漏洞,允许具有工作空间级别权限的经过身份验证的管理员在上传的样式/图例资源中存储JavaScript有效负载,当在REST Resources API中查看时将在另一个管理员的浏览器上执行。默认情况下,对REST Resources API的访问仅限于完整管理员,应谨慎考虑授予非管理员对此端点的访问权限,因为这可能允许访问包含敏感信息的文件。版本2.23.3和2.24.0包含了此问题的补丁。解决建议
"将组件 org.geoserver:gs-restconfig 升级至 2.23.3 及以上版本"- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 高
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
CWE-ID | 漏洞类型 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论