Vulnerabilidad en GeoServer (CVE-2025-27505)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

10/06/2025

Última modificación:

12/06/2025

Descripción

GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. Es posible eludir la seguridad predeterminada de la API REST y acceder a la página de índice. La seguridad de la API REST gestiona rest y sus subrutas, pero no rest con una extensión (p. ej., rest.html). El índice de la API REST puede revelar si ciertas extensiones están instaladas. Esta vulnerabilidad se corrigió en las versiones 2.26.3 y 2.25.6. Como solución alternativa, en ${GEOSERVER_DATA_DIR}/security/config.xml, cambie las rutas del filtro rest a /rest.*,/rest/** y las del filtro gwc a /gwc/rest.*,/gwc/rest/** y reinicie GeoServer.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Vulnerabilidad en GeoServer (CVE-2025-27505)

Descripción

Impacto

Referencias a soluciones, herramientas e información