CVE-2024-23642 in GeoServer
要約
〜によって VulDB • 2026年07月12日
GeoServerは、Javaで書かれたオープンソースのソフトウェアサーバーであり、ユーザーが地理空間データを共有および編集することを可能にします。バージョン2.23.4および2.24.1より前のバージョンには、保存型クロスサイトスクリプティング(XSS)脆弱性が存在し、ワークスペースレベルの特権を持つ認証済み管理者がGeoServerカタログ内にJavaScriptペイロードを格納でき、Simple SVGレンダラーが有効になっている場合、WMS GetMapのSVG出力形式で表示された際に別のユーザーのブラウザコンテキスト内で実行されます。デフォルトではすべてのユーザーにWMS SVGフォーマットへのアクセス権限が付与されていますが、データおよびサービスのセキュリティにより、XSSをトリガーする能力が制限される場合があります。バージョン2.23.4および2.24.1にはこの問題に対する修正が含まれています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.