GeoServer REST Coverage Store API 文件上传漏洞(CVE-2023-51444)

admin
admin
admin
0
文章
0
评论
2024-03-25 10:27:13 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
高危 GeoServer REST Coverage Store API 文件上传漏洞(CVE-2023-51444)

CVE编号

CVE-2023-51444

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2024-03-20
漏洞描述
GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。在2.23.4版本之前和2.24.1版本之前存在一个任意文件上传漏洞,允许经过身份验证的管理员通过REST Coverage Store API修改覆盖存储器权限上传任意文件内容到任意文件位置。漏洞利用需要管理员权限。
解决建议
升级至 2.23.4 或者 2.24.1 及其以上版本。
参考链接
https://github.com/geoserver/geoserver/commit/ca683170c669718cb6ad4c79e01b045...
https://github.com/geoserver/geoserver/commit/fe235b3bb1d7f05751a4a2ef5390c36...
https://github.com/geoserver/geoserver/pull/7222
https://github.com/geoserver/geoserver/security/advisories/GHSA-9v5q-2gwq-q9hq
https://osgeo-org.atlassian.net/browse/GEOS-11176
阿里云评分 7.0
  • 攻击路径 远程
  • 攻击复杂度 容易
  • 权限要求 管控权限
  • 影响范围 全局影响
  • EXP成熟度 POC 已公开
  • 补丁情况 官方补丁
  • 数据保密性 数据泄露
  • 数据完整性 传输被破坏
  • 服务器危害 服务器失陷
  • 全网数量 N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  5