PT-2024-19994 · Geoserver · Geoserver
Sikeoka
·
Publicado
2024-03-20
·
Atualizado
2024-12-17
·
CVE-2024-23643
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do GeoServer anteriores à 2.23.2 e à 2.24.1
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada que permite que um administrador autenticado com privilégios no nível do espaço de trabalho armazene uma carga de JavaScript no catálogo do GeoServer. Essa carga será executada no contexto do navegador de outro administrador quando visualizada no “Formulário GWC Seed”. O acesso ao Formulário GWC Seed é restrito a administradores com privilégios totais por padrão, e não é recomendado conceder acesso a esse endpoint a usuários que não sejam administradores.
Recomendações
Para versões anteriores à 2.23.2, atualize para a versão 2.23.2 ou posterior.
Para versões anteriores à 2.24.1, atualize para a versão 2.24.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao GWC Seed Form apenas a administradores com privilégios totais para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Geoserver