CVE-2024-23640GeoServer - это сервер программного обеспечения с открытым исходным кодом, написанный на Java, который позволяет пользователям обмениваться и редактировать геопространственные данные. В версиях до 2.23.3 и 2.24.0 существует сохраненная межсайтовая уязвимость сценариев (XSS), которая позволяет аутентифицированному администратору с привилегиями уровня рабочей области хранить полезную нагрузку JavaScript в загруженных ресурсах стиля/легенды или в специально созданном файле хранилища данных, который будет выполняться в контексте браузера другого пользователя при просмотре в Style Publisher. Доступ к Style Publisher доступен всем пользователям, хотя безопасность данных может ограничивать возможность пользователей запускать XSS. Версии 2.23.3 и 2.24.0 содержат исправление для этой проблемы.