Katalog CVE

CVE-2025-52465

WysokieCVSS 7.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 27 — wyżej niż 27% wszystkich znanych CVE

Streszczenie

W GeoServer, przed wersjami 2.26.4 i 2.27.3, występuje podatność, która pozwala uwierzytelnionemu administratorowi na przekazywanie dowolnych nazw plików do strony Master Password Dump, co może prowadzić do utworzenia plików zawierających główne hasło w postaci niezaszyfrowanej.

Ocena ryzyka

Organizacje mogą być narażone na ujawnienie wrażliwych danych, jeśli administratorzy mają dostęp do tej funkcji i nie są odpowiednio zabezpieczeni.

Rekomendacja

Zaleca się aktualizację GeoServer do wersji 2.26.4 lub 2.27.3, aby usunąć tę podatność. Dodatkowo, warto rozważyć wyłączenie interfejsu webowego, jeśli nie jest on potrzebny.

Oryginalny opis (angielski, źródło NVD)

GeoServer is an open source server that allows users to share and edit geospatial data. Prior to versions 2.26.4 and 2.27.3, a vulnerability exists that allows an authenticated administrator with access to GeoServer's security system to pass arbitrary file names to the Master Password Dump web page and create files containing the master password in plaintext. The provided file name must be an absolute path to the target file, the target file can not already exist and all parent directories must already exist. Versions 2.26.4 and 2.27.3 contain a fix. GeoServer installations where the web interface is either disabled or completely removed are not affected since the vulnerability exists in one of the web pages.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS