BDU:2025-10402
Уязвимость класса PreventLocalEntityResolver программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
📄 Описание
Уязвимость класса PreventLocalEntityResolver программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer связана с недостаточной проверкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем отправки запросов на любой HTTP-сервер
🖥️ Уязвимое ПО
Open Source Geospatial Foundation (OSGeo)
Наименование ПО: GeoServer
Версия ПО: до 2.25.0 (GeoServer)
Тип ПО: Прикладное ПО информационных систем
ОС / платформа:
⚙️ Технические сведения
Тип ошибки
Раскрытие информации (CWE-200), Неверное ограничение XML-ссылок на внешние объекты (CWE-611), Серверная фальсификация запросов (CWE-918)
Класс уязвимости
Уязвимость кода
Дата выявления
10.06.2025
Способ эксплуатации
Подмена при взаимодействии, Несанкционированный сбор информации, Инъекция
Способ устранения
Обновление программного обеспечения
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Устранение
Уязвимость устранена
📊 CVSS
CVSS 2.0
AV:N/AC:L/Au:N/C:C/I:P/A:N
CVSS 3.0
AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N
⚠️ Уровень опасности
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,3)
🔗 Источники и меры
🔗 https://docs.geoserver.org/latest/en/user/producti... 🔗 https://github.com/geoserver/geoserver/security/ad...
🏷️ Идентификаторы
CVE-2024-34711
📅 Даты
Дата публикации
29.08.2025
Последнее обновление
29.08.2025
← Назад к списку