CVE-2024-29198

Опубликовано: 10 июн. 2025

Источник: nvd

CVSS3: 7.5

CVSS3: 8.2

EPSS Низкий

Описание

GeoServer is an open source software server written in Java that allows users to share and edit geospatial data. It possible to achieve Service Side Request Forgery (SSRF) via the Demo request endpoint if Proxy Base URL has not been set. Upgrading to GeoServer 2.24.4, or 2.25.2, removes the TestWfsPost servlet resolving this issue.

Ссылки

https://github.com/geoserver/geoserver/security/advisories/GHSA-5gw5-jccf-6hxw
Mitigation
Third Party Advisory
https://osgeo-org.atlassian.net/browse/GEOS-11390
Issue Tracking
https://osgeo-org.atlassian.net/browse/GEOS-11794
Permissions Required

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:osgeo:geoserver:*:*:*:*:*:*:*:*

Версия от 2.0.0 (включая) до 2.24.4 (исключая)

cpe:2.3:a:osgeo:geoserver:*:*:*:*:*:*:*:*

Версия от 2.25.0 (включая) до 2.25.2 (исключая)

EPSS

Процентиль: 91%

0.06435

Низкий

7.5 High

CVSS3

8.2 High

CVSS3

Дефекты

CWE-918

Связанные уязвимости

GHSA-5gw5-jccf-6hxw

CVSS3: 7.5

github

8 месяцев назад

GeoServer Vulnerable to Unauthenticated SSRF via TestWfsPost

BDU:2025-10403

CVSS3: 7.5

fstec

8 месяцев назад

Уязвимость компонента TestWfsPost программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 91%

0.06435

Низкий

7.5 High

CVSS3

8.2 High

CVSS3

Дефекты

CWE-918