CVE-2024-23819GeoServer — это сервер программного обеспечения с открытым исходным кодом, написанный на Java, который позволяет пользователям обмениваться и редактировать геопространственные данные. В версиях до 2.23.4 и 2.24.1 существует сохраненная уязвимость межсайтового скриптинга (XSS), которая позволяет аутентифицированному администратору с привилегиями уровня рабочей области хранить полезную нагрузку JavaScript в каталоге GeoServer, которая будет выполняться в контексте браузера другого пользователя при просмотре на HTML-странице MapML. Расширение MapML должно быть установлено, и доступ к HTML-странице MapML доступен всем пользователям, хотя безопасность данных может ограничивать возможность пользователей инициировать XSS. Версии 2.23.4 и 2.24.1 содержат исправление для этой проблемы.