CVE-2024-23643 in GeoServerthông tin

Tóm tắt

Bởi VulDB • 06/06/2026

GeoServer là một máy chủ phần mềm nguồn mở được viết bằng Java, cho phép người dùng chia sẻ và chỉnh sửa dữ liệu không gian địa lý (geospatial). Một lỗ hổng cross-site scripting (XSS) lưu trữ tồn tại trong các phiên bản trước 2.23.2 và 2.24.1, cho phép một quản trị viên đã xác thực có đặc quyền cấp workspace lưu trữ mã độc JavaScript vào cơ sở dữ liệu catalog của GeoServer; mã này sẽ được thực thi trong ngữ cảnh trình duyệt của một quản trị viên khác khi xem qua Form GWC Seed (GWC Seed Form). Việc truy cập vào Form GWC Seed mặc định bị giới hạn đối với các quản trị viên toàn quyền, và không khuyến nghị cấp quyền truy cập cho người dùng không phải là quản trị viên. Các phiên bản 2.23.2 và 2.24.1 chứa bản sửa chữa cho vấn đề này.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

19/01/2024

Tiết lộ

20/03/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00426

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!