Aaime

**Nome do software vulnerável e versões afetadas** Versões do GeoWebCache anteriores à 1.21.0 Versões do GeoWebCache anteriores à 1.20.2 Versões do GeoWebCache anteriores à 1.19.3 **Descrição** O mecanismo de cota de disco do GeoWebCache pode realizar uma pesquisa JNDI não verificada, que pode ser usada para realizar a desserialização de classes e resultar na execução de código arbitrário. As strings JNDI são fornecidas por meio de um arquivo de configuração local no GeoWebCache, enquanto no GeoServer é fornecida uma interface de usuário para realizar o mesmo, acessível remotamente com login de nível administrativo. Essas pesquisas não têm restrições de escopo e podem levar à execução de código. **Recomendações** Para versões anteriores à 1.21.0, atualize para a versão 1.21.0 para restringir as pesquisas JNDI. Para versões anteriores à 1.20.2, atualize para a versão 1.20.2 para restringir as pesquisas JNDI. Para versões anteriores à 1.19.3, atualize para a versão 1.19.3 para restringir as pesquisas JNDI. Como solução alternativa temporária, considere restringir o acesso ao login de nível administrativo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do JAI-EXT anteriores à 1.2.22 GeoServer (versões afetadas não especificadas) **Descrição** Programas que permitem que scripts Jiffle sejam fornecidos por meio de solicitações de rede podem levar à execução remota de código, uma vez que o script Jiffle é compilado em código Java via Janino e executado. Isso afeta o projeto GeoServer, que depende desse componente. **Recomendações** Para versões do JAI-EXT anteriores à 1.2.22, atualize para a versão 1.2.22 para corrigir a vulnerabilidade. Como solução alternativa temporária para usuários que não possam atualizar, remova o janino-x.y.z.jar do classpath para impedir a compilação de scripts Jiffle a partir do aplicativo final.