Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-13240

Опубликовано: 18 сент. 2025
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость серверной геоинформационной системы MapServer связана с непринятием мер по защите структуры SQL-запроса при обработке параметра PropertyName. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Open Source Geospatial Foundation (OSGeo)

Наименование ПО

MapServer

Версия ПО

8.4.0 (MapServer)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)
Высокий уровень опасности (оценка CVSS 4.0 составляет 8,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/MapServer/MapServer/releases/tag/rel-8-4-1
https://github.com/MapServer/MapServer/commit/1c73acaa2d7a8b1d3955f076186e57fc8c06e0c6
https://github.com/MapServer/MapServer/commit/aaeedcdabd1cca4b0f1e94cdcd5e48922d97dd00
https://mapserver.org/download.html#current-release-s

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 19%
0.00059
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-59431

CVSS3: 9.8
ubuntu
5 месяцев назад

MapServer is a system for developing web-based GIS applications. Prior to 8.4.1, the XML Filter Query directive PropertyName is vulnerably to Boolean-based SQL injection. It seems like expression checking is bypassed by introducing double quote characters in the PropertyName. Allowing to manipulate backend database queries. This vulnerability is fixed in 8.4.1.

nvd логотип

CVE-2025-59431

CVSS3: 9.8
nvd
5 месяцев назад

MapServer is a system for developing web-based GIS applications. Prior to 8.4.1, the XML Filter Query directive PropertyName is vulnerably to Boolean-based SQL injection. It seems like expression checking is bypassed by introducing double quote characters in the PropertyName. Allowing to manipulate backend database queries. This vulnerability is fixed in 8.4.1.

debian логотип

CVE-2025-59431

CVSS3: 9.8
debian
5 месяцев назад

MapServer is a system for developing web-based GIS applications. Prior ...

EPSS

Процентиль: 19%
0.00059
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2