BDU:2023-04028

Опубликовано: 21 июн. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Средний

Описание

Уязвимость функции java.lang.Runtime.getRuntime().exec программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Open Source Geospatial Foundation (OSGeo)

Наименование ПО

GeoServer

Версия ПО

- (GeoServer)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможностей эксплуатации уязвимости;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-35042
CVE

EPSS

Процентиль: 97%

0.31141

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-35042

CVSS3: 9.8

nvd

больше 2 лет назад

GeoServer 2, in some configurations, allows remote attackers to execute arbitrary code via java.lang.Runtime.getRuntime().exec in wps:LiteralData within a wps:Execute request, as exploited in the wild in June 2023. NOTE: the vendor states that they are unable to reproduce this in any version.

GHSA-59x6-g4jr-4hxc

CVSS3: 9.8

github

больше 2 лет назад

GeoServer RCE due to improper control of generation of code in jai-ext`Jiffle` map algebra language

EPSS

Процентиль: 97%

0.31141

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2