GeoServer ows 接口存在SQL注入漏洞

GeoServer是一个用 Java 编写的开源软件服务器。允许用户共享和编辑地理空间数据。 GeoServer 2.21.4之前、2.22.2之前版本存在安全漏洞，该漏洞源于 strEndsWith、strStartsWith 和 PropertyIsLike 存在滥用 问题。

攻击者可以在易受攻击的系统上执行任意 SQL 语句。根据正在使用的后端数据库， SQL 注入漏洞会导致攻击者访问不同级别的数据/系统。在某些情况下，可以读入或写出文件，或者在底层操作系统上执行 shell 命令。

将 GeoServer 升级到已修复的版本：2.21.4、2.22.2、2.20.7、2.19.7 或 2.18.7。
禁用 PostGIS 数据存储的 'encode functions' 设置以缓解 strEndsWith 和 strStartsWith 漏洞。
启用 PostGIS 数据存储的 'preparedStatements' 设置以缓解 FeatureId 漏洞。