V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
GeoserverПриложениеnvd,anchore_overrides

Geoserver

Уязвимости
24
Эксплуатируемые
2
Макс. CVSS
9.8
Макс. EPSS
0.99813

Распределение по критичности

Критический
4
Высокий
7
Средний
13
Низкий
0

Затронутые диапазоны версий

2.0.0–2.24.42.10.0–2.24.42.26.0–2.26.22.26.0–2.26.32.27.0–2.27.1< 2.22.6< 2.23.2< 2.23.3< 2.23.4< 2.23.5< 2.25.0< 2.25.6< 2.26.0≤ 1.6.0≤ 2.23.4≥ 2.0.0
Также сопоставлено как (исходные строки): geoserver,geotools

Топ уязвимостей

CVE-2025-58360Отказ в обслуживании в GeoServer
CVE-2024-36401GeoServer — это открытый сервер, который позволяет пользователям делиться и редактировать геопространственные данные. До версий 2.22.6, 2.23.6, 2.24.4 и 2.25.2 несколько параметров запросов OGC позволяют выполнять удалённый код (RCE) неаутентифицированными пользователями через специально подготовленный ввод против стандартной установки GeoServer из-за небезопасной оценки имен свойств в качестве выражений XPath. API библиотеки GeoTools, который вызывает GeoServer, оценивает имена свойств/атрибутов для типов объектов таким образом, что небезопасно передает их в библиотеку commons-jxpath, которая может выполнять произвольный код при оценке выражений XPath. Эта оценка XPath предназначена для использования только сложными типами объектов (т.е. хранилищами данных схемы приложений), но неправильно применяется и к простым типам объектов, что делает эту уязвимость применимой ко **ВСЕМ** экземплярам GeoServer. Публичный PoC не предоставлен, но эта уязвимость подтверждена как подлежащая эксплуатации через запросы WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic и WPS Execute. Эта уязвимость может привести к выполнению произвольного кода. Версии 2.22.6, 2.23.6, 2.24.4 и 2.25.2 содержат исправление этой проблемы. Обходной путь состоит в удалении файла `gt-complex-x.y.jar` из GeoServer, где `x.y` — это версия GeoTools (например, `gt-complex-31.1.jar`, если используется GeoServer 2.25.1). Это удалит уязвимый код из GeoServer, но может нарушить некоторую функциональность GeoServer или помешать его развёртыванию, если модуль gt-complex необходим.
CVE-2023-35042GeoServer 2 в некоторых конфигурациях позволяет удаленным злоумышленникам выполнять произвольный код через java.lang.Runtime.getRuntime().exec в wps:LiteralData в рамках запроса wps:Execute, как это было использовано в дикой природе в июне 2023 года. ПРИМЕЧАНИЕ: поставщик заявляет, что не может воспроизвести это ни в какой версии.
CVE-2025-30220GeoServer - это открытый сервер, позволяющий пользователям обмениваться и редактировать геопространственные данные. Класс GeoTools Schema использует библиотеку Eclipse XSD для представления структуры схемы данных, уязвимой для эксплуатации XML External Entity (XXE). Это влияет на тех, кто предоставляет обработку XML с участием gt-xsd-core в процессе парсинга, когда документы содержат ссылку на внешнюю схему XML. Класс Schemas gt-xsd-core не использует EntityResolver, предоставленный ParserHandler (если он был настроен). Это также влияет на пользователей gt-wfs-ng DataStore, где параметр подключения ENTITY_RESOLVER не использовался по назначению. Эта уязвимость исправлена в GeoTools 33.1, 32.3, 31.7 и 28.6.1, GeoServer 2.27.1, 2.26.3 и 2.25.7, а также GeoNetwork 4.4.8 и 4.2.13 [1]. Уязвимость позволяет неаутентифицированным злоумышленникам читать произвольные файлы из файловой системы сервера, доступные процессу GeoServer, что может привести к раскрытию конфиденциальной информации, включая файлы конфигурации, учетные данные и системные файлы. Также возможен SSRF [2]. Источники: - [1] https://github.com/geoserver/geoserver/security/advisories/GHSA-jj54-8f66-c5pc - [2] https://github.com/geotools/geotools/security/advisories/GHSA-826p-4gcg-35vw - [3] https://github.com/geonetwork/core-geonetwork/security/advisories/GHSA-2p76-gc46-5fvc - [4] https://github.com/geonetwork/core-geonetwork/pull/8757 - [5] https://github.com/geonetwork/core-geonetwork/pull/8803
CVE-2024-34711GeoServer — это открытый сервер, который позволяет пользователям обмениваться и редактировать геопространственные данные. Существует уязвимость, связанная с неправильной проверкой URI, которая позволяет неавторизованному злоумышленнику выполнить атаку XML External Entities (XEE), а затем отправить GET-запрос к любому HTTP-серверу. По умолчанию GeoServer использует класс PreventLocalEntityResolver из GeoTools для фильтрации вредоносных URI в XML-сущностях перед их разрешением. URI должен соответствовать регулярному выражению (?i)(jar:file|http|vfs)[^?#;]*\.xsd. Однако это регулярное выражение оставляет возможность для злоумышленников отправлять запросы к любому HTTP-серверу или ограниченным файлам. Злоумышленник может злоупотребить этим для сканирования внутренних сетей, получения информации о них и дальнейшей эксплуатации. В GeoServer 2.25.0 и новее по умолчанию используется ENTITY_RESOLUTION_ALLOWLIST, и не требуется указывать системное свойство.
CVE-2024-29198GeoServer — это программное обеспечение с открытым исходным кодом, написанное на Java, которое позволяет пользователям обмениваться и редактировать геопространственные данные. Возможно осуществить подделку запросов на стороне сервера (SSRF) через конечную точку Demo request, если не установлен базовый URL-адрес прокси. Обновление до GeoServer версии 2.24.4 или 2.25.2 устраняет эту проблему путем удаления сервлета TestWfsPost [1]. Источники: - [1] https://github.com/geoserver/geoserver/security/advisories/GHSA-5gw5-jccf-6hxw - [2] https://osgeo-org.atlassian.net/browse/GEOS-11390 - [3] https://osgeo-org.atlassian.net/browse/GEOS-11794
CVE-2025-30145GeoServer - это сервер с открытым исходным кодом, который позволяет пользователям обмениваться и редактировать геопространственные данные. Злоумышленнические скрипты Jiffle могут быть выполнены GeoServer либо как трансформация рендеринга в динамических стилях WMS, либо как процесс WPS, что может привести к бесконечному циклу и вызвать отказ в обслуживании. Эта уязвимость исправлена в версиях 2.27.0, 2.26.3 и 2.25.7. Эту уязвимость можно смягчить, отключив динамическое стилирование WMS и процесс Jiffle [1]. Источники: - [1] https://github.com/geoserver/geoserver/security/advisories/GHSA-gr67-pwcv-76gf - [2] https://github.com/geosolutions-it/jai-ext/pull/307 - [3] https://osgeo-org.atlassian.net/browse/GEOS-11778
CVE-2024-38524GeoServer - это открытый сервер, позволяющий пользователям обмениваться и редактировать геопространственные данные. org.geowebcache.GeoWebCacheDispatcher.handleFrontPage(HttpServletRequest, HttpServletResponse) не имеет проверки для скрытия потенциально конфиденциальной информации от пользователей, кроме скрытого свойства системы для скрытия местоположений хранилища, которое по умолчанию показывает местоположения. Эта уязвимость исправлена в версиях 2.26.2 и 2.25.6 [1]. Страница GeoWebCache раскрывает информацию о версии и ревизии используемого программного обеспечения, что может быть использовано для идентификации программного обеспечения на сервере [2]. Источники: - [1] https://github.com/geoserver/geoserver/security/advisories/GHSA-jm79-7xhw-6f6f - [2] https://osgeo-org.atlassian.net/browse/GEOS-11677 - [3] https://github.com/GeoWebCache/geowebcache/issues/1344 - [4] https://github.com/GeoWebCache/geowebcache/pull/1345 - [5] https://github.com/geoserver/geoserver/pull/8189
CVE-2024-24749GeoServer — это сервер с открытым исходным кодом, который позволяет пользователям обмениваться геопространственными данными и редактировать их. До версий 2.23.5 и 2.24.3, если GeoServer развернут в операционной системе Windows с использованием сервера веб-приложений Apache Tomcat, можно обойти существующую проверку ввода в классе GeoWebCache ByteStreamController и прочитать произвольные ресурсы classpath с определенными расширениями имен файлов. Если GeoServer также развернут в виде веб-архива с использованием каталога данных, встроенного в файл `geoserver.war` (а не внешнего каталога данных), вероятно, можно будет прочитать определенные ресурсы для получения прав администратора. Однако маловероятно, что производственные среды будут использовать встроенный каталог данных, поскольку, в зависимости от способа развертывания GeoServer, он будет стираться и переустанавливаться (что также приведет к сбросу пароля по умолчанию) либо каждый раз при перезапуске сервера, либо каждый раз при установке нового GeoServer WAR, и поэтому его сложно поддерживать. Внешний каталог данных всегда будет использоваться, если GeoServer работает в автономном режиме (через установщик или бинарный файл). Версии 2.23.5 и 2.24.3 содержат исправление для этой проблемы. Доступны некоторые обходные пути. Можно перейти из среды Windows в среду Linux или с сервера приложений Apache Tomcat на Jetty. Также можно отключить анонимный доступ к встроенным страницам администрирования и статуса GeoWebCache.
CVE-2023-51444GeoServer — это сервер программного обеспечения с открытым исходным кодом, написанный на Java, который позволяет пользователям обмениваться и редактировать геопространственные данные. В версиях до 2.23.4 и 2.24.1 существует уязвимость произвольной загрузки файлов, которая позволяет аутентифицированному администратору с разрешениями на изменение хранилищ покрытия через REST Coverage Store API загружать произвольное содержимое файлов в произвольные места расположения файлов, что может привести к удаленному выполнению кода. Хранилища покрытия, настроенные с использованием относительных путей, используют реализацию GeoServer Resource, которая имеет проверку для предотвращения обхода пути, но хранилища покрытия, настроенные с использованием абсолютных путей, используют другую реализацию Resource, которая не предотвращает обход пути. Эта уязвимость может привести к выполнению произвольного кода. Администратор с ограниченными привилегиями также может потенциально использовать это для перезаписи файлов безопасности GeoServer и получения полных административных привилегий. Версии 2.23.4 и 2.24.1 содержат исправление для этой проблемы.
CVE-2023-41877GeoServer — это сервер программного обеспечения с открытым исходным кодом, написанный на Java, который позволяет пользователям обмениваться и редактировать геопространственные данные. Уязвимость обхода пути в версиях 2.23.4 и более ранних требует, чтобы администратор GeoServer с доступом к консоли администрирования неправильно настроил глобальные параметры для произвольного расположения файла журнала. Страница журналов GeoServer консоли администрирования предоставляет предварительный просмотр этого содержимого. Поскольку эта проблема требует доступа администраторов GeoServer, часто представляющих собой доверенную сторону, уязвимость не получила исправления на момент публикации. В качестве обходного решения системный администратор, отвечающий за запуск GeoServer, может использовать параметр `GEOSERVER_LOG_FILE`, чтобы переопределить любой параметр конфигурации, предоставленный на странице глобальных параметров. Параметр `GEOSERVER_LOG_LOCATION` можно установить как свойство системы, переменные среды или параметры контекста сервлета.
CVE-2025-21621GeoServer - это сервер с открытым исходным кодом, который позволяет пользователям обмениваться геопространовыми данными и редактировать их. До версии 2.25.0 в формате HTML-вывода WMS GetFeatureInfo существует отраженная уязвимость кросс-сайтов (XSS), которая позволяет удаленному злоумышленнику выполнять произвольный код JavaScript в браузере жертвы через специально созданные параметры SLD_BODY. Этот вопрос был исправлен в версии 2.25.0.
CVE-2024-23634GeoServer — это программный сервер с открытым исходным кодом, написанный на Java, который позволяет пользователям совместно использовать и редактировать геопространственные данные. Уязвимость произвольного переименования файлов существует в версиях до 2.23.5 и 2.24.2, что позволяет аутентифицированному администратору с разрешениями на изменение хранилищ через REST Coverage Store или Data Store API переименовывать произвольные файлы и каталоги с именем, которое не заканчивается на `.zip`. Загрузки файлов хранилища переименовывают zip-файлы, чтобы они имели расширение `.zip`, если его еще нет, перед распаковкой файла. Это подходит для методов загрузки файлов и URL-адресов, когда файлы будут находиться в определенном подкаталоге каталога данных, но при использовании метода внешней загрузки это позволяет переименовывать произвольные файлы и каталоги. Переименование файлов GeoServer, скорее всего, приведет к отказу в обслуживании, либо полностью предотвратив запуск GeoServer, либо эффективно удалив определенные ресурсы (такие как рабочая область, слой или стиль). В некоторых случаях переименование файлов GeoServer может вернуться к настройкам по умолчанию для этого файла, что может быть относительно безвредным, например, удаление контактной информации, или иметь более серьезные последствия, например, разрешение пользователям отправлять запросы OGC, которые настраиваемые параметры предотвратили бы. Влияние переименования файлов, отличных от GeoServer, зависит от конкретной среды, хотя какой-то отказ в обслуживании является вероятным исходом. Версии 2.23.5 и 2.24.2 содержат исправление этой проблемы.
CVE-2025-27505GeoServer — это сервер с открытым исходным кодом, позволяющий пользователям делиться и редактировать геопространственные данные. Существует возможность обойти стандартную безопасность REST API и получить доступ к индексной странице. Безопасность REST API обрабатывает rest и его подпути, но не rest с расширением (например, rest.html). Индекс REST API может раскрыть информацию о том, установлены ли определенные расширения. Эта уязвимость исправлена в версиях 2.26.3 и 2.25.6. В качестве обходного пути в файле ${GEOSERVER_DATA_DIR}/security/config.xml измените пути для rest фильтра на /rest.*,/rest/** и для gwc фильтра на /gwc/rest.*,/gwc/rest/**, затем перезапустите GeoServer [1][2][3]. Источники: - [1] https://github.com/geoserver/geoserver/security/advisories/GHSA-h86g-x8mm-78m5 - [2] https://github.com/geoserver/geoserver/pull/8170 - [3] https://osgeo-org.atlassian.net/browse/GEOS-11664 - [4] https://osgeo-org.atlassian.net/browse/GEOS-11776
CVE-2008-7227PartialBufferOutputStream2 в GeoServer до версий 1.6.1 и 1.7.0-beta1 пытается сбросить содержимое буфера, даже когда он обрабатывает "буфер в памяти", что препятствует сообщению об исключении службы, с неизвестными последствиями и векторами атак.
CVE-2024-40625GeoServer - это открытый сервер, позволяющий пользователям делиться и редактировать геопространственные данные. API остального покрытия /workspaces/{workspaceName}/coveragestores/{storeName}/{method}.{format} позволяет злоумышленникам загружать файлы с указанным URL (при {method} равном 'url') без каких-либо ограничений. Эта уязвимость исправлена в версии 2.26.0 [1]. Источники: - [1] https://github.com/geoserver/geoserver/security/advisories/GHSA-r4hf-r8gj-jgw2 - [2] https://osgeo-org.atlassian.net/browse/GEOS-11468 - [3] https://osgeo-org.atlassian.net/browse/GEOS-11717
CVE-2024-34696GeoServer — это сервер с открытым исходным кодом, который позволяет пользователям совместно использовать и редактировать геопространственные данные. Начиная с версии 2.10.0 и до версий 2.24.4 и 2.25.1, страница состояния сервера GeoServer и REST API перечисляют все переменные среды и свойства Java для любого пользователя GeoServer с правами администратора как часть сообщения о состоянии этих модулей. Эти переменные/свойства также могут содержать конфиденциальную информацию, такую как пароли базы данных или ключи/токены API. Кроме того, многие разработанные сообществом образы контейнеров GeoServer `export` другие учетные данные из своих скриптов запуска в качестве переменных среды для процесса GeoServer (`java`). Точный масштаб проблемы зависит от того, какой образ контейнера используется и как он настроен. Конечная точка API `about status`, которая поддерживает страницу состояния сервера, доступна только администраторам. В зависимости от операционной среды администраторы могут иметь законный доступ к учетным данным другими способами, но эта проблема сводит на нет более сложные элементы управления (например, доступ к секретам по принципу «разбей стекло» или учетные записи ролей). По умолчанию GeoServer разрешает только аутентифицированный доступ к API из того же источника. Это ограничивает возможность для стороннего злоумышленника использовать учетные данные администратора для получения доступа к учетным данным. Исследователи, обнаружившие уязвимость, не смогли определить какие-либо другие условия, при которых REST API GeoServer может быть доступен в более широком смысле. Пользователям следует обновить образы контейнеров, чтобы использовать GeoServer 2.24.4 или 2.25.1, чтобы получить исправление ошибки. В качестве обходного пути оставьте переменные среды и свойства системы Java скрытыми по умолчанию. Те, кто предоставляет возможность повторно включить его, должны сообщить о влиянии и рисках, чтобы пользователи могли сделать осознанный выбор.
CVE-2024-23821GeoServer — это сервер программного обеспечения с открытым исходным кодом, написанный на Java, который позволяет пользователям обмениваться и редактировать геопространственные данные. В версиях до 2.23.4 и 2.24.1 существует сохраненная уязвимость межсайтового скриптинга (XSS), которая позволяет аутентифицированному администратору с привилегиями уровня рабочей области хранить полезную нагрузку JavaScript в каталоге GeoServer, которая будет выполняться в контексте браузера другого пользователя при просмотре на странице GWC Demos. Доступ к странице GWC Demos доступен всем пользователям, хотя безопасность данных может ограничивать возможность пользователей инициировать XSS. Версии 2.23.4 и 2.24.1 содержат исправление для этой проблемы.
CVE-2024-23819GeoServer — это сервер программного обеспечения с открытым исходным кодом, написанный на Java, который позволяет пользователям обмениваться и редактировать геопространственные данные. В версиях до 2.23.4 и 2.24.1 существует сохраненная уязвимость межсайтового скриптинга (XSS), которая позволяет аутентифицированному администратору с привилегиями уровня рабочей области хранить полезную нагрузку JavaScript в каталоге GeoServer, которая будет выполняться в контексте браузера другого пользователя при просмотре на HTML-странице MapML. Расширение MapML должно быть установлено, и доступ к HTML-странице MapML доступен всем пользователям, хотя безопасность данных может ограничивать возможность пользователей инициировать XSS. Версии 2.23.4 и 2.24.1 содержат исправление для этой проблемы.
CVE-2024-23818GeoServer — это сервер программного обеспечения с открытым исходным кодом, написанный на Java, который позволяет пользователям обмениваться и редактировать геопространственные данные. В версиях до 2.23.3 и 2.24.1 существует сохраненная уязвимость межсайтового скриптинга (XSS), которая позволяет аутентифицированному администратору с привилегиями уровня рабочей области хранить полезную нагрузку JavaScript в каталоге GeoServer, которая будет выполняться в контексте браузера другого пользователя при просмотре в формате вывода WMS GetMap OpenLayers. Доступ к формату WMS OpenLayers доступен всем пользователям по умолчанию, хотя безопасность данных и служб может ограничивать возможность пользователей инициировать XSS. Версии 2.23.3 и 2.24.1 содержат исправление для этой проблемы.
CVE-2024-23643GeoServer - это сервер программного обеспечения с открытым исходным кодом, написанный на Java, который позволяет пользователям обмениваться и редактировать геопространственные данные. В версиях до 2.23.2 и 2.24.1 существует сохраненная межсайтовая уязвимость сценариев (XSS), которая позволяет аутентифицированному администратору с привилегиями уровня рабочей области хранить полезную нагрузку JavaScript в каталоге GeoServer, который будет выполняться в контексте браузера другого администратора при просмотре в форме GWC Seed. Доступ к форме GWC Seed по умолчанию ограничен полными администраторами, и предоставление доступа к этой конечной точке неадминистраторам не рекомендуется. Версии 2.23.2 и 2.24.1 содержат исправление для этой проблемы.
CVE-2024-23642GeoServer - это сервер программного обеспечения с открытым исходным кодом, написанный на Java, который позволяет пользователям обмениваться и редактировать геопространственные данные. В версиях до 2.23.4 и 2.24.1 существует сохраненная межсайтовая уязвимость сценариев (XSS), которая позволяет аутентифицированному администратору с привилегиями уровня рабочей области хранить полезную нагрузку JavaScript в каталоге GeoServer, который будет выполняться в контексте браузера другого пользователя при просмотре в формате вывода WMS GetMap SVG, когда включен простой рендерер SVG. Доступ к формату WMS SVG доступен всем пользователям по умолчанию, хотя безопасность данных и служб может ограничивать возможность пользователей запускать XSS. Версии 2.23.4 и 2.24.1 содержат исправление для этой проблемы.
CVE-2024-23640GeoServer - это сервер программного обеспечения с открытым исходным кодом, написанный на Java, который позволяет пользователям обмениваться и редактировать геопространственные данные. В версиях до 2.23.3 и 2.24.0 существует сохраненная межсайтовая уязвимость сценариев (XSS), которая позволяет аутентифицированному администратору с привилегиями уровня рабочей области хранить полезную нагрузку JavaScript в загруженных ресурсах стиля/легенды или в специально созданном файле хранилища данных, который будет выполняться в контексте браузера другого пользователя при просмотре в Style Publisher. Доступ к Style Publisher доступен всем пользователям, хотя безопасность данных может ограничивать возможность пользователей запускать XSS. Версии 2.23.3 и 2.24.0 содержат исправление для этой проблемы.
CVE-2023-51445GeoServer — это сервер программного обеспечения с открытым исходным кодом, написанный на Java, который позволяет пользователям обмениваться геопространственными данными и редактировать их. В версиях до 2.23.3 и 2.24.0 существует уязвимость межсайтового скриптинга (XSS), которая позволяет аутентифицированному администратору с правами на уровне рабочей области хранить полезную нагрузку JavaScript в загруженных ресурсах стиля/легенды, которая будет выполняться в браузере другого администратора при просмотре в REST Resources API. Доступ к REST Resources API по умолчанию ограничен полными администраторами, и предоставление доступа к этой конечной точке неадминистраторам должно быть тщательно продумано, поскольку это может предоставить доступ к файлам, содержащим конфиденциальную информацию. Версии 2.23.3 и 2.24.0 содержат исправление для этой проблемы.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →