CVE-2024-40625

Опубликовано: 10 июн. 2025

Источник: nvd

CVSS3: 5.5

CVSS3: 4.9

EPSS Низкий

Описание

GeoServer is an open source server that allows users to share and edit geospatial data. The Coverage rest api /workspaces/{workspaceName}/coveragestores/{storeName}/{method}.{format} allows attackers to upload files with a specified url (with {method} equals 'url') with no restrict. This vulnerability is fixed in 2.26.0.

Ссылки

https://github.com/geoserver/geoserver/security/advisories/GHSA-r4hf-r8gj-jgw2
Third Party Advisory
https://osgeo-org.atlassian.net/browse/GEOS-11468
Issue Tracking
Patch
https://osgeo-org.atlassian.net/browse/GEOS-11717
Permissions Required

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:osgeo:geoserver:*:*:*:*:*:*:*:*

Версия до 2.26.0 (исключая)

EPSS

Процентиль: 11%

0.00039

Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS3

Дефекты

CWE-918

Связанные уязвимости

GHSA-r4hf-r8gj-jgw2

CVSS3: 5.5

github

8 месяцев назад

Coverage REST API Server Side Request Forgery

BDU:2025-10401

CVSS3: 5.5

fstec

8 месяцев назад

Уязвимость компонента Coverage программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю загружать произвольные файлы

EPSS

Процентиль: 11%

0.00039

Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS3

Дефекты

CWE-918