Описание
GeoServer 2, in some configurations, allows remote attackers to execute arbitrary code via java.lang.Runtime.getRuntime().exec in wps:LiteralData within a wps:Execute request, as exploited in the wild in June 2023. NOTE: the vendor states that they are unable to reproduce this in any version.
Ссылки
- Product
- Third Party Advisory
- Product
- Third Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 2.0.0 (включая)
cpe:2.3:a:geoserver:geoserver:*:*:*:*:*:*:*:*
EPSS
Процентиль: 97%
0.31141
Средний
9.8 Critical
CVSS3
Дефекты
NVD-CWE-noinfo
Связанные уязвимости
CVSS3: 9.8
github
больше 2 лет назад
GeoServer RCE due to improper control of generation of code in jai-ext`Jiffle` map algebra language
CVSS3: 9.8
fstec
больше 2 лет назад
Уязвимость функции java.lang.Runtime.getRuntime().exec программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 97%
0.31141
Средний
9.8 Critical
CVSS3
Дефекты
NVD-CWE-noinfo