北京赛克艾威科技有限公司 2024-03-27
近日,赛克艾威网络安全实验室监测到GeoServer 文件上传漏洞情报,有登陆权限的攻击者可以通过构造恶意的 REST Coverage Store API 请求,上传任意文件以此执行任意代码。
未授权的攻击者可构造恶意请求造成代码执行。
org.geoserver:gs-restconfig@(-∞, 2.23.4)
org.geoserver:gs-platform@[2.24.0, 2.24.1)
org.geoserver:gs-restconfig@[2.24.0, 2.24.1)
org.geoserver:gs-platform@(-∞, 2.23.4)
将组件 org.geoserver:gs-platform 升级至 2.24.1 及以上版本
将组件 org.geoserver:gs-restconfig 升级至 2.24.1 及以上版本
将 org.geoserver:gs-platform 升级至 2.23.4 及以上版本
将组件 org.geoserver:gs-restconfig 升级至 2.23.4 及以上版本