GeoServer 存在 sql 注入漏洞

这篇具有很好参考价值的文章主要介绍了GeoServer 存在 sql 注入漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

漏洞描述

GeoServer 是一个允许用户共享和编辑地理空间数据的开源软件服务器,支持 OGC Filter expression 和 OGC Common Query Language 语言,使用 PostGIS Datastore 作为数据库。PostGIS是PostgreSQL数据库的扩展程序,增加了数据库对地理对象的支持。

GeoServer 的受影响版本的 PropertyIsLike、FeatureId、DWithin过滤器以及 strEndsWith、strStartsWith、jsonArrayContains函数未对用户传入的 sql 语句有效过滤从而存在 sql 注入漏洞,攻击者可利用此漏洞查询或修改 PostGIS Datastore 数据库中的任意数据。

开发者可禁用 PostGIS Datastore 的 encode functions 或使用 preparedStatements 处理sql语句缓解此漏洞。

漏洞名称 GeoServer 存在 sql 注入漏洞
漏洞类型 SQL注入
发现时间 2023/2/23
漏洞影响广度 一般
MPS编号 MPS-2023-3773
CVE编号 CVE-2023-25157
CNVD编号 -

影响范围

org.geoserver.community:gs-jdbcconfig@[2.22.0, 2.22.2)

org.geoserver.community:gs-jdbcconfig@[2.1.3, 2.21.4)

修复方案

升级org.geoserver.community:gs-jdbcconfig到 2.21.4 或 2.22.2 或更高版本

禁用 PostGIS Datastore 的 encode functions 或使用 preparedStatements 处理sql语句

参考链接

https://www.oscs1024.com/hd/MPS-2023-3773

https://nvd.nist.gov/vuln/detail/CVE-2023-25157

https://github.com/advisories/GHSA-7g5f-wrx8-5ccf

https://github.com/geoserver/geoserver/commit/145a8af798590288d270b240235e89c8f0b62e1d

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

官网地址:https://www.murphysec.com/?sf=qbyj
开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj

GeoServer 存在 sql 注入漏洞文章来源地址https://www.toymoban.com/news/detail-494201.html

到了这里,关于GeoServer 存在 sql 注入漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【1day】复现任我行协同CRM存在SQL注入漏洞

    注:该文章来自作者日常学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与作者无关。 目录 一、漏洞描述 二、影响版本 三、资产测绘  四、漏洞复现 

    2024年02月12日
    浏览(43)
  • 天擎终端安全管理系统clientinfobymid存在SQL注入漏洞

    产品简介 奇安信天擎终端安全管理系统是面向政企单位推出的一体化终端安全产品解决方案。该产品集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体,兼容不同操作系统和计算平台,帮助客户实现平台一体化、功能一体化、数据一体化的终端安全

    2024年02月03日
    浏览(57)
  • Jeecg-Boot 存在前台SQL注入漏洞(CVE-2023-1454)

    微信公众号搜索:南风漏洞复现文库 南风网络安全公众号首发 eecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant DesignVue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发#x

    2024年02月06日
    浏览(156)
  • MybatisPlus <= 3.5.3.1 TenantPlugin 组件 存在 sql 注入漏洞(CVE-2023-25330)

    MyBatis-Plus TenantPlugin 是 MyBatis-Plus 的一个为多租户场景而设计的插件,可以在 SQL 中自动添加租户 ID 来实现数据隔离功能。 MyBatis-Plus TenantPlugin 3.5.3.1及之前版本由于 TenantHandler#getTenantId 方法在构造 SQL 表达式时默认情况下未对 tenant(租户)的 ID 值进行过滤,当程序启用了 Te

    2024年02月03日
    浏览(43)
  • Linux发行版Gentoo被发现有漏洞,在SQL注入方面存在安全风险

    近日有消息表明,Gentoo Linux发行版中存在漏洞CVE-2023-28424,并且极有可能被黑客利用该漏洞进行SQL注入攻击。 据悉,研究人员从 GentooLinux的Soko搜索组件中找到了这个漏洞,并且该漏洞的CVSS风险评分为 9.1,属于特别重大漏洞,GentooLinux开发团队已经于漏洞曝出24小时内进行了修

    2024年02月12日
    浏览(49)
  • 蓝凌EIS智慧协同平台 doc_fileedit_word.aspx 存在 SQL注入漏洞

    产品简介 蓝凌EIS智慧协同平台是一款专为企业提供高效协同办公和团队合作的产品。该平台集成了各种协同工具和功能,旨在提升企业内部沟通、协作和信息共享的效率。 漏洞概述 由于蓝凌EIS智慧协同平台 doc_fileedit_word.aspx接口处未对用户输入的SQL语句进行过滤或验证导致

    2024年01月25日
    浏览(43)
  • 网御ACM上网行为管理系统bottomframe.cgi接口存在SQL注入漏洞 附POC

    免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 微信公众号搜索:南风漏洞复现文库 该文

    2024年02月10日
    浏览(57)
  • 浅析 GeoServer CVE-2023-25157 SQL注入

    原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里 的热点话题 漏洞、技术相关的调查或分析 稿件通过并发布还能收获 200-800元不等的稿酬 更多详情,点我查看! 简介 GeoServer是一个开源的地图服务器,它是遵循OpenGIS Web服务器规范的J2EE实现,

    2024年02月10日
    浏览(37)
  • 浅析GeoServer CVE-2023-25157 SQL注入

    简介 GeoServer是一个开源的地图服务器,它是遵循OpenGIS Web服务器规范的J2EE实现,通过它可以方便的将地图数据发布为地图服务,实现地理空间数据在用户之间的共享。 影响版本 geoserver 2.18.7 2.19.0 =geoserver 2.19.7 2.20.0 =geoserver 2.20.7 2.21.0 =geoserver 2.21.4 2.22.0 =geoserver 2.22.2 环境搭建

    2024年02月09日
    浏览(35)
  • 【高危】泛微 e-cology <10.57 存在 SQL注入漏洞(POC)(MPS-ndqt-0im5)

    泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。 泛微 e-cology 受影响版本存在SQL注入漏洞,未经授权的远程攻击者可通过发送特殊的HTTP请求来获取数据库的敏感信息。 漏洞名称 GeoServer 存在 sql 注入漏洞 漏洞类型 SQL注入 发现时间 2023/4/22 漏洞影响广度 广 MPS编号

    2024年02月13日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包