1. 漏洞概述

2024年3月21日，安全运营中心监测到GeoServer 文件上传漏洞，漏洞编号：CVE-2023-51444，漏洞威胁等级：高危。

2. 漏洞详情

GeoServer是一个用Java编写的开源软件服务器，允许用户共享和编辑地理空间数据。

GeoServer受影响版本中存在任意文件上传漏洞。由于未验证用户输入的文件包装器资源路径是否包含".."，有登陆权限的攻击者可以通过构造恶意的 REST Coverage Store API 请求，上传任意文件以此执行任意代码。

3. 影响版本

geoserve<2.23.4

2.24.0<=geoserver<2.24.1

4. 处置建议

1. 将 org.geoserver:gs-platform 升级至 2.23.4 及以上版本，将组件 org.geoserver:gs-restconfig 升级至 2.23.4 及以上版本，将组件 org.geoserver:gs-platform 升级至 2.24.1 及以上版本，将组件 org.geoserver:gs-restconfig 升级至 2.24.1 及以上版本。

https://github.com/geoserver/geoserver/security/advisories/GHSA-9v5q-2gwq-q9hq