国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

GeoServer 存在 sql 注入漏洞

2年前作者:墨菲安全分類:Toy博客閱讀(24)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了GeoServer 存在 sql 注入漏洞。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

漏洞描述

GeoServer 是一個(gè)允許用戶共享和編輯地理空間數(shù)據(jù)的開源軟件服務(wù)器,支持 OGC Filter expression 和 OGC Common Query Language 語言,使用 PostGIS Datastore 作為數(shù)據(jù)庫。PostGIS是PostgreSQL數(shù)據(jù)庫的擴(kuò)展程序,增加了數(shù)據(jù)庫對(duì)地理對(duì)象的支持。

GeoServer 的受影響版本的 PropertyIsLike、FeatureId、DWithin過濾器以及 strEndsWith、strStartsWith、jsonArrayContains函數(shù)未對(duì)用戶傳入的 sql 語句有效過濾從而存在 sql 注入漏洞,攻擊者可利用此漏洞查詢或修改 PostGIS Datastore 數(shù)據(jù)庫中的任意數(shù)據(jù)。

開發(fā)者可禁用 PostGIS Datastore 的 encode functions 或使用 preparedStatements 處理sql語句緩解此漏洞。

漏洞名稱 GeoServer 存在 sql 注入漏洞
漏洞類型 SQL注入
發(fā)現(xiàn)時(shí)間 2023/2/23
漏洞影響廣度 一般
MPS編號(hào) MPS-2023-3773
CVE編號(hào) CVE-2023-25157
CNVD編號(hào) -

影響范圍

org.geoserver.community:gs-jdbcconfig@[2.22.0, 2.22.2)

org.geoserver.community:gs-jdbcconfig@[2.1.3, 2.21.4)

修復(fù)方案

升級(jí)org.geoserver.community:gs-jdbcconfig到 2.21.4 或 2.22.2 或更高版本

禁用 PostGIS Datastore 的 encode functions 或使用 preparedStatements 處理sql語句

參考鏈接

https://www.oscs1024.com/hd/MPS-2023-3773

https://nvd.nist.gov/vuln/detail/CVE-2023-25157

https://github.com/advisories/GHSA-7g5f-wrx8-5ccf

https://github.com/geoserver/geoserver/commit/145a8af798590288d270b240235e89c8f0b62e1d

關(guān)于墨菲安全

墨菲安全是一家為您提供專業(yè)的軟件供應(yīng)鏈安全管理的科技公司,核心團(tuán)隊(duì)來自百度、華為、烏云等企業(yè),公司為客戶提供完整的軟件供應(yīng)鏈安全管理平臺(tái),圍繞SBOM提供軟件全生命周期的安全管理,平臺(tái)能力包括軟件成分分析、源安全管理、容器鏡像檢測、漏洞情報(bào)預(yù)警及商業(yè)軟件供應(yīng)鏈準(zhǔn)入評(píng)估等多個(gè)產(chǎn)品。為客戶提供從供應(yīng)鏈資產(chǎn)識(shí)別管理、風(fēng)險(xiǎn)檢測、安全控制、一鍵修復(fù)的完整控制能力。同時(shí)產(chǎn)品可以極低成本的和現(xiàn)有開發(fā)流程中的各種工具一鍵打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等數(shù)十種工具無縫集成。

官網(wǎng)地址:https://www.murphysec.com/?sf=qbyj
開源項(xiàng)目:https://github.com/murphysecurity/murphysec/?sf=qbyj

GeoServer 存在 sql 注入漏洞文章來源地址http://www.zghlxwxcb.cn/news/detail-494201.html

到了這里,關(guān)于GeoServer 存在 sql 注入漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容,請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 【1day】復(fù)現(xiàn)任我行協(xié)同CRM存在SQL注入漏洞

    注:該文章來自作者日常學(xué)習(xí)筆記,請勿利用文章內(nèi)的相關(guān)技術(shù)從事非法測試,如因此產(chǎn)生的一切不良后果與作者無關(guān)。 目錄 一、漏洞描述 二、影響版本 三、資產(chǎn)測繪? 四、漏洞復(fù)現(xiàn)?

    2024年02月12日
    瀏覽(20)
  • 天擎終端安全管理系統(tǒng)clientinfobymid存在SQL注入漏洞

    天擎終端安全管理系統(tǒng)clientinfobymid存在SQL注入漏洞

    產(chǎn)品簡介 奇安信天擎終端安全管理系統(tǒng)是面向政企單位推出的一體化終端安全產(chǎn)品解決方案。該產(chǎn)品集防病毒、終端安全管控、終端準(zhǔn)入、終端審計(jì)、外設(shè)管控、EDR等功能于一體,兼容不同操作系統(tǒng)和計(jì)算平臺(tái),幫助客戶實(shí)現(xiàn)平臺(tái)一體化、功能一體化、數(shù)據(jù)一體化的終端安全

    2024年02月03日
    瀏覽(37)

  • Jeecg-Boot 存在前臺(tái)SQL注入漏洞(CVE-2023-1454)

    微信公眾號(hào)搜索:南風(fēng)漏洞復(fù)現(xiàn)文庫 南風(fēng)網(wǎng)絡(luò)安全公眾號(hào)首發(fā) eecgBoot是一款基于BPM的低代碼平臺(tái)!前后端分離架構(gòu) SpringBoot 2.x,SpringCloud,Ant DesignVue,Mybatis-plus,Shiro,JWT,支持微服務(wù)。強(qiáng)大的代碼生成器讓前后端代碼一鍵生成,實(shí)現(xiàn)低代碼開發(fā)#x

    2024年02月06日
    瀏覽(188)
  • Linux發(fā)行版Gentoo被發(fā)現(xiàn)有漏洞,在SQL注入方面存在安全風(fēng)險(xiǎn)

    Linux發(fā)行版Gentoo被發(fā)現(xiàn)有漏洞,在SQL注入方面存在安全風(fēng)險(xiǎn)

    近日有消息表明,Gentoo Linux發(fā)行版中存在漏洞CVE-2023-28424,并且極有可能被黑客利用該漏洞進(jìn)行SQL注入攻擊。 據(jù)悉,研究人員從 GentooLinux的Soko搜索組件中找到了這個(gè)漏洞,并且該漏洞的CVSS風(fēng)險(xiǎn)評(píng)分為 9.1,屬于特別重大漏洞,GentooLinux開發(fā)團(tuán)隊(duì)已經(jīng)于漏洞曝出24小時(shí)內(nèi)進(jìn)行了修

    2024年02月12日
    瀏覽(26)
  • MybatisPlus <= 3.5.3.1 TenantPlugin 組件 存在 sql 注入漏洞(CVE-2023-25330)

    MybatisPlus <= 3.5.3.1 TenantPlugin 組件 存在 sql 注入漏洞(CVE-2023-25330)

    MyBatis-Plus TenantPlugin 是 MyBatis-Plus 的一個(gè)為多租戶場景而設(shè)計(jì)的插件,可以在 SQL 中自動(dòng)添加租戶 ID 來實(shí)現(xiàn)數(shù)據(jù)隔離功能。 MyBatis-Plus TenantPlugin 3.5.3.1及之前版本由于 TenantHandler#getTenantId 方法在構(gòu)造 SQL 表達(dá)式時(shí)默認(rèn)情況下未對(duì) tenant(租戶)的 ID 值進(jìn)行過濾,當(dāng)程序啟用了 Te

    2024年02月03日
    瀏覽(50)
  • 藍(lán)凌EIS智慧協(xié)同平臺(tái) doc_fileedit_word.aspx 存在 SQL注入漏洞

    藍(lán)凌EIS智慧協(xié)同平臺(tái) doc_fileedit_word.aspx 存在 SQL注入漏洞

    產(chǎn)品簡介 藍(lán)凌EIS智慧協(xié)同平臺(tái)是一款專為企業(yè)提供高效協(xié)同辦公和團(tuán)隊(duì)合作的產(chǎn)品。該平臺(tái)集成了各種協(xié)同工具和功能,旨在提升企業(yè)內(nèi)部溝通、協(xié)作和信息共享的效率。 漏洞概述 由于藍(lán)凌EIS智慧協(xié)同平臺(tái) doc_fileedit_word.aspx接口處未對(duì)用戶輸入的SQL語句進(jìn)行過濾或驗(yàn)證導(dǎo)致

    2024年01月25日
    瀏覽(15)

  • 網(wǎng)御ACM上網(wǎng)行為管理系統(tǒng)bottomframe.cgi接口存在SQL注入漏洞 附POC

    免責(zé)聲明:請勿利用文章內(nèi)的相關(guān)技術(shù)從事非法測試,由于傳播、利用此文所提供的信息或者工具而造成的任何直接或者間接的后果及損失,均由使用者本人負(fù)責(zé),所產(chǎn)生的一切不良后果與文章作者無關(guān)。該文章僅供學(xué)習(xí)用途使用。 微信公眾號(hào)搜索:南風(fēng)漏洞復(fù)現(xiàn)文庫 該文

    2024年02月10日
    瀏覽(12)
  • 淺析 GeoServer CVE-2023-25157 SQL注入

    淺析 GeoServer CVE-2023-25157 SQL注入

    原創(chuàng)稿件征集 郵箱:edu@antvsion.com QQ:3200599554 黑客與極客相關(guān),互聯(lián)網(wǎng)安全領(lǐng)域里 的熱點(diǎn)話題 漏洞、技術(shù)相關(guān)的調(diào)查或分析 稿件通過并發(fā)布還能收獲 200-800元不等的稿酬 更多詳情,點(diǎn)我查看! 簡介 GeoServer是一個(gè)開源的地圖服務(wù)器,它是遵循OpenGIS Web服務(wù)器規(guī)范的J2EE實(shí)現(xiàn),

    2024年02月10日
    瀏覽(24)

  • 淺析GeoServer CVE-2023-25157 SQL注入

    簡介 GeoServer是一個(gè)開源的地圖服務(wù)器,它是遵循OpenGIS Web服務(wù)器規(guī)范的J2EE實(shí)現(xiàn),通過它可以方便的將地圖數(shù)據(jù)發(fā)布為地圖服務(wù),實(shí)現(xiàn)地理空間數(shù)據(jù)在用戶之間的共享。 影響版本 geoserver 2.18.7 2.19.0 =geoserver 2.19.7 2.20.0 =geoserver 2.20.7 2.21.0 =geoserver 2.21.4 2.22.0 =geoserver 2.22.2 環(huán)境搭建

    2024年02月09日
    瀏覽(18)
  • 【高危】泛微 e-cology <10.57 存在 SQL注入漏洞(POC)(MPS-ndqt-0im5)

    【高?!糠何?e-cology <10.57 存在 SQL注入漏洞(POC)(MPS-ndqt-0im5)

    泛微協(xié)同管理應(yīng)用平臺(tái)(e-cology)是一套企業(yè)大型協(xié)同管理平臺(tái)。 泛微 e-cology 受影響版本存在SQL注入漏洞,未經(jīng)授權(quán)的遠(yuǎn)程攻擊者可通過發(fā)送特殊的HTTP請求來獲取數(shù)據(jù)庫的敏感信息。 漏洞名稱 GeoServer 存在 sql 注入漏洞 漏洞類型 SQL注入 發(fā)現(xiàn)時(shí)間 2023/4/22 漏洞影響廣度 廣 MPS編號(hào)

    2024年02月13日
    瀏覽(95)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包