1.漏洞概述

2024 年 3 月 21 日，安全运营中心监测到 GeoServer 文件上传漏洞，漏洞编号：CVE-2023-51444，漏洞威胁等级：高危。

2.漏洞详情

GeoServer 是一个用 Java 编写的开源软件服务器，允许用户共享和编辑地理空间数据。GeoServer 受影响版本中存在任意文件上传漏洞。由于未验证用户输入的文件包装器资源路径是否包含".."，有登陆权限的攻击者可以通过构造恶意的 REST Coverage Store API 请求，上传任意文件以此执行任意代码。

3.影响版本

geoserve<2.23.4

2.24.0<=geoserver<2.24.1

4.处置建议

1. 将 org.geoserver:gs-platform 升级至 2.23.4 及以上版本，将组件 org.geoserver:gs-restconfig 升级至 2.23.4 及以上版本，将组件 org.geoserver:gs-platform 升级至 2.24.1 及以上版本，将组件 org.geoserver:gs-restconfig 升级至 2.24.1 及以上版本。https://github.com/geoserver/geoserver/security/advisories/GHSA-9v5q-2gwq-q9hq

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651