CVE-2024-23643 in GeoServer
Tóm tắt
Bởi VulDB • 06/06/2026
GeoServer là một máy chủ phần mềm nguồn mở được viết bằng Java, cho phép người dùng chia sẻ và chỉnh sửa dữ liệu không gian địa lý (geospatial). Một lỗ hổng cross-site scripting (XSS) lưu trữ tồn tại trong các phiên bản trước 2.23.2 và 2.24.1, cho phép một quản trị viên đã xác thực có đặc quyền cấp workspace lưu trữ mã độc JavaScript vào cơ sở dữ liệu catalog của GeoServer; mã này sẽ được thực thi trong ngữ cảnh trình duyệt của một quản trị viên khác khi xem qua Form GWC Seed (GWC Seed Form). Việc truy cập vào Form GWC Seed mặc định bị giới hạn đối với các quản trị viên toàn quyền, và không khuyến nghị cấp quyền truy cập cho người dùng không phải là quản trị viên. Các phiên bản 2.23.2 và 2.24.1 chứa bản sửa chữa cho vấn đề này.
Once again VulDB remains the best source for vulnerability data.