Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en GeoServer (CVE-2023-51445)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/03/2024
Última modificación:
18/12/2024

Descripción

GeoServer es un servidor de software de código abierto escrito en Java que permite a los usuarios compartir y editar datos geoespaciales. Existe una vulnerabilidad de Cross Site Scripting (XSS) almacenado en versiones anteriores a 2.23.3 y 2.24.0 que permite a un administrador autenticado con privilegios a nivel de espacio de trabajo almacenar un payload de JavaScript en recursos de estilo/leyenda cargados que se ejecutarán en el contexto del navegador de otro administrador cuando se visualicen en la API de recursos REST. El acceso a la API de recursos REST está limitado a administradores completos de forma predeterminada y se debe considerar cuidadosamente la concesión de acceso a este endpoint a personas que no sean administradores, ya que puede permitir el acceso a archivos que contienen información confidencial. Las versiones 2.23.3 y 2.24.0 contienen un parche para este problema.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:geoserver:geoserver:*:*:*:*:*:*:*:* 2.23.3 (excluyendo)