2024年3月22日,网上更新披露了一个GeoServer 文件上传漏洞(CVE-2024-28175),GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据,请各位用户尽快安装漏洞补丁。
漏洞风险:GeoServer受影响版本中存在任意文件上传漏洞。由于未验证用户输入的文件包装器资源路径是否包含"..",有登陆权限的攻击者可以通过构造恶意的 REST Coverage Store API 请求,上传任意文件以此执行任意代码。
风险等级:高风险。
影响范围:
org.geoserver:gs-restconfig@(-∞, 2.23.4)
org.geoserver:gs-platform@[2.24.0, 2.24.1)
org.geoserver:gs-restconfig@[2.24.0, 2.24.1)
org.geoserver:gs-platform@(-∞, 2.23.4)
修复建议:
将 org.geoserver:gs-platform 升级至 2.23.4 及以上版本
将组件 org.geoserver:gs-restconfig 升级至 2.23.4 及以上版本
将组件 org.geoserver:gs-platform 升级至 2.24.1 及以上版本
将组件 org.geoserver:gs-restconfig 升级至 2.24.1 及以上版本
进行安全更新方法:
https://github.com/geoserver/geoserver/releases
