CVE-2024-23642

Versões do GeoServer anteriores à 2.23.4 e à 2.24.1

Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada que permite que um administrador autenticado com privilégios no nível do espaço de trabalho armazene uma carga de JavaScript no catálogo do GeoServer. Essa carga será executada no contexto do navegador de outro usuário quando visualizada no formato de saída SVG do WMS GetMap com o renderizador Simple SVG ativado. O acesso ao formato SVG do WMS está disponível para todos os usuários por padrão, embora a segurança dos dados e dos serviços possa limitar a capacidade dos usuários de acionar o XSS. Se um invasor conseguir controlar um script executado no navegador da vítima, ele normalmente poderá comprometer totalmente esse usuário, realizando qualquer ação dentro do aplicativo que o usuário possa realizar, visualizando qualquer informação que o usuário possa visualizar, modificando qualquer informação que o usuário possa modificar e iniciando interações com outros usuários do aplicativo.

Para versões anteriores à 2.23.4, atualize para a versão 2.23.4 ou posterior.

Para versões anteriores à 2.24.1, atualize para a versão 2.24.1 ou posterior.

Como solução alternativa temporária, considere desativar o renderizador Simple SVG no formato de saída SVG do WMS GetMap até que um patch esteja disponível.

Restrinja o acesso ao formato SVG do WMS para minimizar o risco de exploração.