CVE-2024-24749 in GeoServerinformación

Resumen

por MITRE • 2024-07-01

GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. Antes de las versiones 2.23.5 y 2.24.3, si GeoServer se implementa en el sistema operativo Windows utilizando un servidor de aplicaciones web Apache Tomcat, es posible omitir la validación de entrada existente en la clase GeoWebCache ByteStreamController y leer recursos de classpath arbitrarios con un nombre de archivo específico. extensiones. Si GeoServer también se implementa como un archivo web utilizando el directorio de datos integrado en el archivo `geoserver.war` (en lugar de un directorio de datos externo), probablemente será posible leer recursos específicos para obtener privilegios de administrador. Sin embargo, es muy poco probable que los entornos de producción utilicen el directorio de datos integrado ya que, dependiendo de cómo se implemente GeoServer, se borrará y se reinstalará (lo que también restablecería la contraseña predeterminada) cada vez que se reinicie el servidor o cada vez que se instala un nuevo GeoServer WAR y por lo tanto es difícil de mantener. Siempre se utilizará un directorio de datos externo si GeoServer se ejecuta en modo independiente (a través de un instalador o un binario). Las versiones 2.23.5 y 2.24.3 contienen un parche para el problema. Algunas soluciones están disponibles. Se puede cambiar de un entorno Windows a un entorno Linux; o cambiar de Apache Tomcat al servidor de aplicaciones Jetty. También se puede desactivar el acceso anónimo a las páginas de estado y administración de GeoWebCache integradas.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub, Inc.

Reservar

2024-01-29

Divulgación

2024-07-01

Moderación

aceptado

Artículo

VDB-270068

CPE

listo

EPSS

0.00756

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!