GeoServer 跨站脚本漏洞

CNNVD-ID编号	CNNVD-202403-2028
CVE编号	CVE-2023-51445
发布时间	2024-03-20
更新时间	2024-03-21
漏洞类型	跨站脚本
漏洞来源	暂无
危险等级	N/A
威胁类型	N/A
厂商	GeoServer

漏洞介绍

GeoServer是一个用 Java 编写的开源软件服务器。允许用户共享和编辑地理空间数据。 GeoServer 2.23.3 和 2.24.0之前版本存在跨站脚本漏洞，该漏洞源于 REST Resources API 中包含跨站脚本漏洞，允许攻击者将 JavaScript 有效载荷存储在上传的 style/legend资源中，当用户查看 REST Resources API时，在浏览器上下文中执行。

漏洞补丁

目前暂无GeoServer 跨站脚本漏洞的补丁信息，如GeoServer 跨站脚本漏洞补丁信息有更新，便会立即同步；

参考网址

来源:github.com

链接：https://github.com/geoserver/geoserver/security/advisories/GHSA-fh7p-5f6g-vj2w
来源:github.com

链接：https://github.com/geoserver/geoserver/pull/7161
来源:github.com

链接：https://github.com/geoserver/geoserver/commit/7db985738ff2422019ccac974cf547bae5770cad
来源:osgeo-org.atlassian.net

链接：https://osgeo-org.atlassian.net/browse/GEOS-11148

受影响实体

信息来源

CNNVD