CVE-2023-51445

Versões do GeoServer anteriores à 2.23.3 e à 2.24.0

Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada que permite que um administrador autenticado com privilégios no nível do espaço de trabalho armazene uma carga de JavaScript em recursos de estilo/legenda enviados, que serão executados no contexto do navegador de outro administrador quando visualizados na “REST Resources API”. O acesso à “REST Resources API” é limitado a administradores com privilégios totais por padrão, e a concessão de acesso a esse endpoint a usuários que não sejam administradores deve ser cuidadosamente considerada, pois pode permitir o acesso a arquivos contendo informações confidenciais.

Para versões do GeoServer anteriores à 2.23.3, atualize para a versão 2.23.3 ou posterior.

Para versões do GeoServer anteriores à 2.24.0, atualize para a versão 2.24.0 ou posterior.

Como solução alternativa temporária, considere restringir o acesso à “API de Recursos REST” apenas a administradores com privilégios totais e evite conceder acesso a esse endpoint a usuários que não sejam administradores.

Além disso, considere desativar o upload de recursos de estilo/legenda até que um patch seja aplicado.