PT-2024-20099 · Geoserver · Geoserver
Sikeoka
·
Publicado
2024-03-20
·
Atualizado
2024-12-17
·
CVE-2024-23818
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do GeoServer anteriores à 2.23.3 e à 2.24.1
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada que permite que um administrador autenticado com privilégios no nível do espaço de trabalho armazene uma carga de JavaScript no catálogo do GeoServer. Essa carga será executada no contexto do navegador de outro usuário quando visualizada no formato de saída WMS GetMap OpenLayers. O acesso ao formato WMS OpenLayers está disponível para todos os usuários por padrão, embora a segurança dos dados e dos serviços possa limitar a capacidade dos usuários de acionar o XSS.
Recomendações
Para versões anteriores à 2.23.3, atualize para a versão 2.23.3 ou posterior.
Para versões anteriores à 2.24.1, atualize para a versão 2.24.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao formato WMS OpenLayers para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Geoserver