10критическая
BDU:2023-02030
Уязвимость программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, связанная с непринятием мер по нейтрализации специальных элементов, используемых в SQL-запросах, позволяющая нарушителю выполнить произвольный SQL-код
Опубликовано: 2023-04-13
Описание
Уязвимость программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer связана с непринятием мер по нейтрализации специальных элементов, используемых в SQL-запросах. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный SQL-код путем отправки специально созданного запроса
Затрагиваемое ПО и версии
GeoServer (до 2.18.7)GeoServer (от 2.19.0 до 2.19.7)GeoServer (от 2.20.0 до 2.20.7)GeoServer (от 2.21.0 до 2.21.4)GeoServer (от 2.21.4 до 2.22.2)
Способ устранения
Использование рекомендаций производителя:
https://github.com/geoserver/geoserver/security/advisories/GHSA-7g5f-wrx8-5ccf
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи