CVE-2025-21621

Nome do Software Vulnerável e Versões Afetadas Versões do GeoServer anteriores à 2.25.0

Descrição Existe uma vulnerabilidade de cross-site scripting (XSS) refletido no formato de saída HTML do GetFeatureInfo do WMS. Isso permite que um atacante remoto execute código JavaScript arbitrário no navegador da vítima por meio de parâmetros SLD BODY especialmente elaborados. A configuração do serviço WMS que controla o escape automático de HTML está desativada por padrão ou completamente ausente nas versões afetadas. Se um atacante conseguir controlar um script executado no navegador da vítima, ele poderá realizar ações, visualizar informações, modificar dados e iniciar interações com outros usuários do aplicativo.

Recomendações Versões anteriores à 2.25.0 devem ser atualizadas para a versão 2.25.0 ou posterior. Habilitar o escape automático de HTML do GetFeatureInfo (disponível no GeoServer 2.21.3 e 2.22.1). Desabilitar a estilização dinâmica. Desabilitar o tipo MIME text/html do GetFeatureInfo.