Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

BDU:2026-08880

CVSS: 9
02.09.2025

Уязвимость метода writeMasterPasswordInfo() программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю выполнить произвольный код, раскрыть защищаемую информацию и вызвать отказ в обслуживании

Уязвимость метода writeMasterPasswordInfo() программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer связана с некорректным внешним управлением именем или путем файла. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код, раскрыть защищаемую информацию и вызвать отказ в обслуживании
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 02.09.2025
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует в открытом доступе
Способ эксплуатации: Манипулирование ресурсами
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций производителя:
https://github.com/geoserver/geoserver/security/advisories/GHSA-7qmg-grcp-qf25

Компенсирующие меры:
- минимизация пользовательских привилегий;
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика и блокирования вредоносных POST-запросов к компоненту /geoserver/web/wicket/page;
- отключение или удаление веб-интерфейса GeoServer, если он не требуется для эксплуатации системы;
- использование SIEM-систем для отслеживания событий, связанных с обращением к функциям резервного копирования и выгрузки мастер-пароля;
- использование виртуальных частных сетей для организации удаленного доступа (VPN) к интерфейсу администрирования;
- ограничение доступа к веб-панели управления из внешних сетей (Интернет).

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-73 The product allows user input to control or influence paths or file names that are used in filesystem operations.

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
9 HIGH 2.0 AV:N/AC:L/Au:S/C:C/I:C/A:C

Идентификаторы других систем описаний уязвимостей

CVE-2025-52465 PT-2026-49053
Вендор:
  • Open Source Geospatial Foundation (OSGeo)
Тип ПО:
  • Прикладное ПО информационных систем
Наименование ПО:
  • GeoServer
Версия ПО:
  • от 2.27.0 до 2.27.3 (GeoServer)
  • до 2.26.4 (GeoServer)
Ссылки на источники:

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.