GeoServer日志文件路径遍历漏洞(CVE-2023-41877)
CVE编号
CVE-2023-41877利用情况
暂无补丁情况
N/A披露时间
2024-03-20漏洞描述
GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。在版本2.23.4及更早版本中存在一个路径遍历漏洞,要求GeoServer管理员访问管理控制台并错误配置全局设置以将日志文件位置设置为任意位置。管理控制台的GeoServer日志页面提供了这些内容的预览。由于此问题需要GeoServer管理员访问,通常代表一个受信任的方,因此该漏洞在撰写时尚未接收到补丁。作为解决方法,负责运行GeoServer的系统管理员可以使用 `GEOSERVER_LOG_FILE` 设置来覆盖全局设置页面提供的任何配置选项。`GEOSERVER_LOG_LOCATION`参数可以设置为系统属性、环境变量或servlet上下文参数。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://docs.geoserver.org/latest/en/user/configuration/globalsettings.html#l... | |
| https://github.com/geoserver/geoserver/security/advisories/GHSA-8g7v-vjrc-x4g5 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 高
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论