CVE-2024-24749 in GeoServerالمعلومات

الملخص

بحسب VulDB • 28/06/2026

يُعد GeoServer خادمًا مفتوح المصدر يتيح للمستخدمين مشاركة بياناتهم المكانية وتحريرها. قبل الإصدارين 2.23.5 و 2.24.3، إذا تم نشر GeoServer على نظام التشغيل Windows باستخدام خادم تطبيقات الويب Apache Tomcat، فمن الممكن تجاوز التحقق من صحة المدخلات الموجود في فئة `GeoWebCache ByteStreamController` وقراءة موارد مسار الفئة (classpath) بشكل تعسفي ذات امتدادات اسم ملف محددة. وإذا كان GeoServer مُنشرًا أيضًا كأرشيف ويب باستخدام دليل البيانات المدمج داخل الملف `geoserver.war` (بدلاً من استخدام دليل بيانات خارجي)، فمن المرجح أن يكون من الممكن قراءة موارد معينة للحصول على صلاحيات المسؤول. ومع ذلك، فمن غير المحتمل جدًا أن تستخدم بيئات الإنتاج الدليل المضمن للبيانات، حيث سيتم حذفه وإعادة تثبيته (مما يؤدي أيضًا إلى إعادة تعيين كلمة المرور الافتراضية) إما في كل مرة يُعاد فيها تشغيل الخادم أو في كل مرة يتم تثبيت ملف WAR جديد لـ GeoServer فيه، وبالتالي يصبح من الصعب صيانته. وسيتم دائمًا استخدام دليل بيانات خارجي إذا كان GeoServer يعمل في الوضع المستقل (عبر مثبت أو ثنائي). تحتوي الإصدارات 2.23.5 و 2.24.3 على تصحيح لهذه المشكلة. تتوفر بعض الحلول البديلة. يمكن للمستخدم الانتقال من بيئة Windows إلى بيئة Linux؛ أو التبديل من خادم تطبيقات Apache Tomcat إلى Jetty. كما يمكن تعطيل الوصول المجهول إلى صفحات إدارة GeoWebCache وحالتها المضمنة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub, Inc.

حجز

29/01/2024

إفشاء

01/07/2024

الاعتدال

تمت الموافقة

إدخال

VDB-270068

EPSS

0.00756

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!