CVE-2024-24749 in GeoServerinformazioni

Riassunto

di VulDB • 28/06/2026

GeoServer è un server open source che consente agli utenti di condividere e modificare dati geospaziali. Prima delle versioni 2.23.5 e 2.24.3, se GeoServer viene distribuito nel sistema operativo Windows utilizzando il server web Apache Tomcat come applicazione web, è possibile bypassare la convalida degli input esistente nella classe `ByteStreamController` di GeoWebCache e leggere risorse arbitrarie del classpath tramite estensioni specifiche dei nomi file. Se GeoServer è inoltre distribuito come archivio web (WAR) utilizzando una directory dati incorporata nel file `geoserver.war` (anziché una directory dati esterna), sarà probabilmente possibile leggere risorse specifiche per ottenere privilegi di amministratore. Tuttavia, è molto improbabile che gli ambienti di produzione utilizzino la directory dati incorporata poiché, a seconda della modalità di distribuzione di GeoServer, questa verrebbe cancellata e reinstallata (resetando anche la password predefinita) ogni volta che il server viene riavviato o quando viene installata una nuova versione WAR di GeoServer, rendendola quindi difficile da mantenere. Una directory dati esterna verrà sempre utilizzata se GeoServer è in esecuzione in modalità standalone (tramite un installer o un file binario). Le versioni 2.23.5 e 2.24.3 contengono una patch per risolvere il problema. Sono disponibili alcune soluzioni alternative: si può passare da un ambiente Windows a Linux; oppure cambiare dal server di applicazioni Apache Tomcat al server Jetty. Si può anche disabilitare l'accesso anonimo alle pagine di amministrazione e stato incorporate in GeoWebCache.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub, Inc.

Prenotare

29/01/2024

Divulgazione

01/07/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00756

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!