CVE-2024-23640

Versões do GeoServer anteriores à 2.23.3 e à 2.24.0

Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada que permite que um administrador autenticado com privilégios no nível do espaço de trabalho armazene uma carga de JavaScript em recursos de estilo/legenda enviados ou em um arquivo de armazenamento de dados especialmente criado. Essa carga será executada no contexto do navegador de outro usuário quando visualizada no Style Publisher. O acesso ao Style Publisher está disponível para todos os usuários, embora a segurança dos dados possa limitar a capacidade dos usuários de acionar o XSS. Se um invasor conseguir controlar um script executado no navegador da vítima, ele normalmente poderá comprometer totalmente esse usuário, realizando qualquer ação dentro do aplicativo que o usuário possa realizar, visualizando qualquer informação que o usuário possa visualizar, modificando qualquer informação que o usuário possa modificar e iniciando interações com outros usuários do aplicativo.

Para versões do GeoServer anteriores à 2.23.3, atualize para a versão 2.23.3 ou posterior para resolver o problema.

Para versões do GeoServer anteriores à 2.24.0, atualize para a versão 2.24.0 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao Style Publisher para minimizar o risco de exploração.