exploitDog

CVE-2023-25157

Опубликовано: 21 фев. 2023

Источник: nvd

CVSS3: 9.8

EPSS Критический

Описание

GeoServer is an open source software server written in Java that allows users to share and edit geospatial data. GeoServer includes support for the OGC Filter expression language and the OGC Common Query Language (CQL) as part of the Web Feature Service (WFS) and Web Map Service (WMS) protocols. CQL is also supported through the Web Coverage Service (WCS) protocol for ImageMosaic coverages. Users are advised to upgrade to either version 2.21.4, or version 2.22.2 to resolve this issue. Users unable to upgrade should disable the PostGIS Datastore encode functions setting to mitigate strEndsWith, strStartsWith and PropertyIsLike misuse and enable the PostGIS DataStore preparedStatements setting to mitigate the FeatureId misuse.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:osgeo:geoserver:*:*:*:*:*:*:*:*

Версия до 2.18.7 (исключая)

cpe:2.3:a:osgeo:geoserver:*:*:*:*:*:*:*:*

Версия от 2.19.0 (включая) до 2.19.7 (исключая)

cpe:2.3:a:osgeo:geoserver:*:*:*:*:*:*:*:*

Версия от 2.20.0 (включая) до 2.20.7 (исключая)

cpe:2.3:a:osgeo:geoserver:*:*:*:*:*:*:*:*

Версия от 2.21.0 (включая) до 2.21.4 (исключая)

cpe:2.3:a:osgeo:geoserver:*:*:*:*:*:*:*:*

Версия от 2.22.0 (включая) до 2.22.2 (исключая)

EPSS

Процентиль: 100%

0.93866

Критический

9.8 Critical

CVSS3

Дефекты

CWE-89

CWE-89

Связанные уязвимости

GHSA-7g5f-wrx8-5ccf

CVSS3: 9.8

github

почти 3 года назад

GeoServer OGC Filter SQL Injection Vulnerabilities

BDU:2023-02030

CVSS3: 9.8

fstec

почти 3 года назад

Уязвимость программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, связанная с непринятием мер по нейтрализации специальных элементов, используемых в SQL-запросах, позволяющая нарушителю выполнить произвольный SQL-код

EPSS

Процентиль: 100%

0.93866

Критический

9.8 Critical

CVSS3

Дефекты

CWE-89

CWE-89