1. 漏洞概述
2024年3月21日,安全运营中心监测到GeoServer 文件上传漏洞,漏洞编号:CVE-2023-51444,漏洞威胁等级:高危。
2. 漏洞详情
GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。
GeoServer受影响版本中存在任意文件上传漏洞。由于未验证用户输入的文件包装器资源路径是否包含"..",有登陆权限的攻击者可以通过构造恶意的 REST Coverage Store API 请求,上传任意文件以此执行任意代码。
3. 影响版本
geoserve<2.23.4
2.24.0<=geoserver<2.24.1
4. 处置建议
1. 将 org.geoserver:gs-platform 升级至 2.23.4 及以上版本,将组件 org.geoserver:gs-restconfig 升级至 2.23.4 及以上版本,将组件 org.geoserver:gs-platform 升级至 2.24.1 及以上版本,将组件 org.geoserver:gs-restconfig 升级至 2.24.1 及以上版本。
https://github.com/geoserver/geoserver/security/advisories/GHSA-9v5q-2gwq-q9hq