【漏洞预警】GeoServer SQL注入漏洞(CVE-2023-25157)

漏洞预警 发布时间:2023-06-09 09:50:34 98 浏览


希望大家看完多点“在看”,喜欢的话也点个分享

漏洞描述


GeoServer是一款开源的地理数据服务器软件,主要用于发布、共享和处理各种地理空间数据。它支持众多的地图和空间数据标准,能够使各种设备通过网络来浏览和使用这些地理信息数据。GeoServer在预览图层的时候,可以对图层进行数据过滤从而渲染出指定位置的图层。由于未对用户输入进行过滤,在使用需要以数据库作为数据存储的功能时,攻击者可以构造畸形的过滤语法,绕过GeoServer的词法解析从而造成SQL注入。

漏洞危害

获取服务器中的敏感信息,甚至可能获取数据库服务器权限。

影响版本

GeoServer < 2.21.4
2.22.0 <= GeoServer < 2.22.2
使用外置数据库创建自定义图层

漏洞等级

高危

修复建议

官方已发布新版本修复了该漏洞,可下载最新版本进行升级。






免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐

漏洞预警 | 百易云资产管理运营系统SQL注入漏洞

漏洞预警 | 灵当CRM任意文件读取漏洞

漏洞预警 | 用友移动系统管理SQL注入漏洞

漏洞预警 | 灵当CRM任意文件读取漏洞

【漏洞预警】VMware vCenter Server 堆溢出漏洞(CVE-2024-38812)

【漏洞预警】Apache Solr高危漏洞曝光,速查你的系统是否中招!