CVE-2024-24749 in GeoServer情報

要約

〜によって VulDB • 2026年05月11日

GeoServerは、ユーザーが地理空間データを共有および編集できるようにするオープンソースのサーバーです。バージョン2.23.5および2.24.3より前では、GeoServerがApache Tomcat Webアプリケーションサーバーを使用してWindowsオペレーティングシステムにデプロイされている場合、GeoWebCacheのByteStreamControllerクラスにおける既存の入力検証をバイパスし、特定のファイル名拡張子を持つ任意のクラスパスリソースを読み取ることが可能です。また、GeoServerが`geoserver.war`ファイルに埋め込まれたデータディレクトリ(外部データディレクトリではなく)を使用してWebアーカイブとしてデプロイされている場合、特定のリソースを読み取って管理者権限を取得できる可能性があります。ただし、GeoServerのデプロイ方法によっては、サーバー再起動時または新しいGeoServer WARのインストール時にデータディレクトリが削除されて再インストールされ(デフォルトパスワードもリセットされる)、維持管理が困難になるため、本番環境で埋め込みデータディレクトリが使用されることは非常に稀です。GeoServerがスタンドアロンモード(インストーラーまたはバイナリ経由)で実行されている場合は、常に外部データディレクトリが使用されます。バージョン2.23.5および2.24.3には、この問題に対するパッチが含まれています。いくつかの回避策が利用可能です。例えば、Windows環境からLinux環境へ移行するか、Apache TomcatからJettyアプリケーションサーバーへ変更することができます。また、埋め込みGeoWebCacheの管理ページおよびステータスページへの匿名アクセスを無効にすることもできます。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub, Inc.

予約する

2024年01月29日

モデレーション

承諾済み

エントリ

VDB-270068

EPSS

0.00756

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!