严重
GeoServer ows 接口存在SQL注入漏洞
披露时间:
2023-02-22
更新时间:
2025-02-10
CT 编号
CT-790352
CVE 编号
CVE-2023-25157
CNVD 编号
N/A
CNNVD 编号
CNNVD-202302-1717
原理分类
SQL注入
漏洞评分
9.8
漏洞描述
GeoServer是一个用 Java 编写的开源软件服务器。允许用户共享和编辑地理空间数据。 GeoServer 2.21.4之前、2.22.2之前版本存在安全漏洞,该漏洞源于 strEndsWith、strStartsWith 和 PropertyIsLike 存在滥用 问题。
漏洞危害
攻击者可以在易受攻击的系统上执行任意 SQL 语句。根据正在使用的后端数据库, SQL 注入漏洞会导致攻击者访问不同级别的数据/系统。在某些情况下,可以读入或写出文件,或者在底层操作系统上执行 shell 命令。
修复方法
官方已发布补丁版本,请升级至
GeoSever 2.21.4
GeoServer 2.22.2
GeoServer 2.20.7
GeoServer 2.19.7
GeoServer 2.18.7
及其以上版本
下载地址:https://geoserver.org/
评分维度
长亭安全产品覆盖情况
雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统
漏洞时间线
漏洞披露
2023-02-22
漏洞信息更新
2025-02-10
