GeoServer REST Coverage Store API 存在任意文件上传

预览

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

预览

1）执行任意代码，攻击者可以通过上传恶意代码文件来控制服务器；2）数据泄露，攻击者可能通过上传恶意文件来获取敏感数据；3）服务中断，攻击者可能上传恶意文件导致服务器资源耗尽或服务不可用；4）法律风险，服务器上出现恶意内容可能导致法律责任。

预览

一、升级修复方案：
官方已发布安全修复版本，建议受影响的用户升级至最新版本，下载地址：
https://geoserver.org/
二、临时缓解措施
1、在不影响业务的情况下配置URL访问控制策略
2、如非必要，避免将资产直接暴露在互联网