CVE-2024-24749 in GeoServer
Sumário
de VulDB • 24/06/2026
O GeoServer é um servidor de código aberto que permite aos usuários compartilhar e editar dados geoespaciais. Antes das versões 2.23.5 e 2.24.3, se o GeoServer for implantado no sistema operacional Windows usando um servidor de aplicativos web Apache Tomcat, é possível contornar a validação de entrada existente na classe `ByteStreamController` do GeoWebCache e ler recursos arbitrários do classpath com extensões específicas de nome de arquivo. Se o GeoServer também estiver implantado como um arquivo WAR da web utilizando o diretório de dados embutido no arquivo `geoserver.war` (em vez de um diretório de dados externo), será possível, provavelmente, ler recursos específicos para obter privilégios de administrador. No entanto, é muito improvável que ambientes de produção utilizem o diretório de dados embutido, pois, dependendo da forma como o GeoServer é implantado, ele será apagado e reinstalado (o que também redefinirá a senha padrão) toda vez que o servidor for reiniciado ou sempre que um novo WAR do GeoServer for instalado, tornando-o difícil de manter. Um diretório de dados externo será sempre utilizado se o GeoServer estiver sendo executado no modo standalone (via instalador ou binário). As versões 2.23.5 e 2.24.3 contêm uma correção para a vulnerabilidade. Algumas soluções alternativas estão disponíveis. Pode-se mudar do ambiente Windows para um ambiente Linux; ou trocar o servidor de aplicativos Apache Tomcat pelo Jetty. Também é possível desativar o acesso anônimo às páginas administrativas e de status embutidas do GeoWebCache.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.