GeoServer 漏洞列表

GeoServer through 2.18.5 and 2.19.x through 2.19.2 allows server-side request forgery via the option for setting a proxy host. fofa: app="GeoServer"

Programs run on GeoServer before 1.2.2 which use jt-jiffle and allow Jiffle script to be provided via network request are susceptible to remote code execution. The Jiffle script is compiled into Java code via Janino, and executed. In particular, this affects downstream GeoServer 1.1.22. fofa-query: app="GeoServer" shodan-query: /geoserver/

GeoServer is an open source software server written in Java that allows users to share and edit geospatial data. GeoServer includes support for the OGC Filter expression language and the OGC Common Query Language (CQL) as part of the Web Feature Service (WFS) and Web Map Service (WMS) protocols. CQL is also supported through the Web Coverage Service (WCS) protocol for ImageMosaic coverages. Users are advised to upgrade to either version 2.21.4, or version 2.22.2 to resolve this issue. Users unable to upgrade should disable the PostGIS Datastore *encode functions* setting to mitigate ``strEndsWith``, ``strStartsWith`` and ``PropertyIsLike `` misuse and enable the PostGIS DataStore *preparedStatements* setting to mitigate the ``FeatureId`` misuse. fofa-query: app="GeoServer" shodan-query: /geoserver/

fofa: app="GeoServer"

GeoServer是GeoServer开源的一个用 Java 编写的开源软件服务器。允许用户共享和编辑地理空间数据。GeoServer存在代码问题漏洞，该漏洞源于XML外部实体处理不当，可能导致信息泄露。 fofa：app="GeoServer"

Geoserver default admin credentials were discovered. fofa-query: app="GeoServer"

GeoServer login panel was detected. shodan-query: title:"GeoServer"

GeoServer through 2.18.5 and 2.19.x through 2.19.2 allows server-side request forgery via the option for setting a proxy host.

Programs run on GeoServer before 1.2.2 which use jt-jiffle and allow Jiffle script to be provided via network request are susceptible to remote code execution. The Jiffle script is compiled into Java code via Janino, and executed. In particular, this affects downstream GeoServer 1.1.22.

GeoServer is an open source software server written in Java that allows users to share and edit geospatial data. GeoServer includes support for the OGC Filter expression language and the OGC Common Query Language (CQL) as part of the Web Feature Service (WFS) and Web Map Service (WMS) protocols. CQL is also supported through the Web Coverage Service (WCS) protocol for ImageMosaic coverages. Users are advised to upgrade to either version 2.21.4, or version 2.22.2 to resolve this issue. Users unable to upgrade should disable the PostGIS Datastore *encode functions* setting to mitigate ``strEndsWith``, ``strStartsWith`` and ``PropertyIsLike `` misuse and enable the PostGIS DataStore *preparedStatements* setting to mitigate the ``FeatureId`` misuse.

GeoServer is an open source software server written in Java that allows users to share and edit geospatial data. The OGC Web Processing Service (WPS) specification is designed to process information from any server using GET and POST requests. This presents the opportunity for Server Side Request Forgery. This vulnerability has been patched in version 2.22.5 and 2.23.2.

It is possible to achieve Server Side Request Forgery (SSRF) via the Demo request endpoint if Proxy Base URL has not been set. An unauthenticated user can supply a request that will be issued by the server, allowing enumeration of internal networks and, in the case of cloud instances, access to sensitive data.

In the GeoServer version prior to 2.25.1, 2.24.3 and 2.23.5 of GeoServer, multiple OGC request parameters allow Remote Code Execution (RCE) by unauthenticated users through specially crafted input against a default GeoServer installation due to unsafely evaluating property names as XPath expressions.

GeoTools is an open source Java library that provides tools for geospatial data. Prior to versions 31.2, 30.4, and 29.6, Remote Code Execution (RCE) is possible if an application uses certain GeoTools functionality to evaluate XPath expressions supplied by user input. Versions 31.2, 30.4, and 29.6 contain a fix for this issue. As a workaround, GeoTools can operate with reduced functionality by removing the `gt-complex` jar from one's application. As an example of the impact, application schema `datastore` would not function without the ability to use XPath expressions to query complex content. Alternatively, one may utilize a drop-in replacement GeoTools jar from SourceForge for versions 31.1, 30.3, 30.2, 29.2, 28.2, 27.5, 27.4, 26.7, 26.4, 25.2, and 24.0. These jars are for download only and are not available from maven central, intended to quickly provide a fix to affected applications.

GeoServer contains a missing authorization vulnerability that allows unauthorized access to the REST API Index page, potentially exposing sensitive configuration information.

GeoServer Web Feature Service (WFS) is vulnerable to an XML External Entity (XXE) processing attack due to improper handling of XML input. This vulnerability allows attackers to perform Out-of-Band (OOB) data exfiltration and Server-Side Request Forgery (SSRF) by exploiting the GeoTools library.

GeoServer 是一个开源的服务器软件，用于从各种数据源中发布地理数据。GeoServer 2 的 /geoserver/wms 接口存在代码执行漏洞（CVE-2023-35042），攻击者可以通过该漏洞执行任意代码，从而控制服务器或获取敏感信息。

GeoServer 是一款开源的 Java 服务器软件，用于共享、处理和编辑地理空间数据。CVE-2025-27505 是 GeoServer REST API 中的一个安全绕过漏洞，该漏洞源于 REST API 索引缺少授权验证，导致未经授权的用户可以访问 “/geoserver/rest.html”，进而可能获取敏感信息或进行恶意操作。

GeoServer REST API 小于 2.25.6 版本和 2.26.0 到 2.26.3 版本，存在未授权访问漏洞，攻击者可以利用该漏洞获取大量敏感信息，以供下一步的攻击使用。

GeoServer是一款开源的服务器软件，用于地理空间数据的共享、处理和编辑。GeoServer的 /geoserver/TestWfsPost 接口存在SSRF（服务器端请求伪造）漏洞，未经身份验证的攻击者可能利用该漏洞访问系统资源或敏感信息，导致数据泄露或系统安全性降低。

GeoTools 库使用 Eclipse XSD 库来处理 XML 数据，但未正确配置 EntityResolver，导致 XML 外部实体 (XXE) 漏洞。当 GeoServer 或 GeoNetwork 调用 GeoTools 库处理 XML 数据时，攻击者可以注入恶意的 XML 实体，从而读取本地文件或发起其他攻击。

Geoserver 在 >= 2.27.0, < 2.27.1 >= 2.26.0, < 2.26.3 < 2.25.7版本存在未授权XXE漏洞，攻击者可以利用该漏洞获取服务器敏感信息。

GeoServer是GeoServer开源的一个用 Java 编写的开源软件服务器。允许用户共享和编辑地理空间数据。 GeoServer存在代码问题漏洞，该漏洞源于XML外部实体处理不当，可能导致信息泄露。

GeoServer是GeoServer开源的一个用 Java 编写的开源软件服务器。允许用户共享和编辑地理空间数据。 GeoServer存在代码问题漏洞，该漏洞源于未设置Proxy Base URL时可通过Demo请求端点实现服务端请求伪造。

GeoServer 是基于 Java 的软件服务器，允许用户查看和编辑地理空间数据。使用开放地理空间联盟（OGC）提出的开放标准，GeoServer在地图创建和数据共享方面具有极大的灵活性。geoserver wfs 存在远程命令执行漏洞，攻击者可利用该漏洞获取系统权限。

远程命令执行漏洞是指攻击者通过构造特定的请求，使得服务器端执行非预期的命令，从而可能导致未授权的数据访问、权限提升、服务中断等严重后果。这种漏洞通常由于应用程序对用户输入的验证不充分或者对外部命令调用缺乏必要的安全控制而产生。

GeoServer是GeoServer开源的一个用 Java 编写的开源软件服务器。允许用户共享和编辑地理空间数据。 GeoServer 2.25.1之前版本存在信息泄露漏洞，该漏洞源于允许用户共享和编辑地理空间数据。

GeoServer是一个属于地理信息系统领域，遵守OpenGIS Web 服务器规范的开源软件服务器。 GeoServer可以发布任意存储在任何遵守开放标准的空间数据源中的数据（shp、tif等），并允许用户对特征数据进行更新、删除、插入操作，通过GeoServer 可以比较容易的在用户之间共享空间地理信息数据，该应用存在默认口令，攻击者可以登录该系统获取敏感信息。

GeoServer中存在代码执行漏洞，此漏洞是由于程序将属性名解析为XPath表达式时，未充分验证用户输入的数据所导致的。

GeoServer中存在代码执行漏洞，此漏洞是由于程序将属性名解析为XPath表达式时，未充分验证用户输入的数据所导致的。

GeoServer中存在代码执行漏洞，此漏洞是由于程序将属性名解析为XPath表达式时，未充分验证用户输入的数据所导致的。

GeoServer存在远程代码执行漏洞，此漏洞是由于缺乏校验导致的。

Fortra GoAnywhere MFT是美国Fortra公司的一种安全的文件传输解决方案。 Fortra GoAnywhere MFT 7.6.0之前版本存在安全漏洞，该漏洞源于存在身份验证绕过漏洞，允许有权访问代理控制台的管理员用户在尝试访问其他页面时绕过某些权限检查，可能导致未经授权的信息泄露或修改。

GeoServer 是基于 Java 的软件服务器，允许用户查看和编辑地理空间数据。使用开放地理空间联盟（OGC）提出的开放标准，GeoServer在地图创建和数据共享方面具有极大的灵活性。该系统存在命令执行漏洞，攻击者可以获取服务器权限。

GeoServer 是一个开源服务器，允许用户共享和编辑地理空间数据，依赖 GeoTools 库来处理地理空间数据。受影响的版本中 GeoTools 库的 API 在处理要素类型的属性名称时，会将这些属性名称不安全地传递给 commons-jxpath 库进行解析，由于 commons-jxpath 库在解析 XPath 表达式时可以执行任意代码，从而导致未经身份验证的用户能够利用特定的 OGC 请求参数远程执行代码。

GeoServer中存在任意文件上传漏洞，该漏洞是由于对请求中的filename参数的值验证不当导致的。

GeoServer中存在任意文件上传漏洞，该漏洞是由于对请求中的filename参数的值验证不当导致的。

GeoServer 路径遍历漏洞

GeoServer的默认安装包含一个预定义的管理员账户，或者用户使用了容易猜测的账号密码。如果这些身份验证凭据未被更改，那么任何知道这些默认凭据的个人或实体都可以获得GeoServer的管理员权限。这种情况构成了一个严重的安全风险，因为它允许未经授权的访问者浏览敏感数据，修改系统设置或执行其他可能对系统造成破坏的操作。

SSRF漏洞，即服务器端请求伪造漏洞，是由于服务器端应用程序在处理客户端请求时，未正确验证和过滤URL参数，导致攻击者可以通过构造特定的URL参数，使服务器发起到内部网络或本地的请求。这种漏洞允许攻击者获取内部服务的敏感信息，执行内部网络扫描，甚至可能触发内部服务的漏洞，造成严重的安全威胁。

SSRF漏洞，即服务器端请求伪造漏洞，是由于服务器端应用程序在处理客户端请求时，未正确验证和过滤URL参数，导致攻击者可以通过构造特定的URL参数，使服务器发起到内部网络或本地的请求。这种漏洞允许攻击者获取内部服务的敏感信息，执行内部网络扫描，甚至可能触发内部服务的漏洞，造成严重的安全威胁。

GeoServer是一个开源的地理信息系统（GIS）服务器，用于存储、处理和发布地理空间数据。geoserver存在命令执行漏洞，可利用此漏洞获取主机权限

GeoServer是一款开源的地理数据服务器软件，主要用于发布、共享和处理各种地理空间数据。它支持众多的地图和空间数据标准，能够使各种设备通过网络来浏览和使用这些地理信息数据。GeoServer在预览图层的时候，可以对图层进行数据过滤从而渲染出指定位置的图层。由于未对用户输入进行过滤，在使用需要以数据库作为数据存储的功能时，攻击者可以构造畸形的过滤语法，绕过GeoServer的词法解析从而造成SQL注入，获取服务器中的敏感信息，甚至可能获取数据库服务器权限.

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

GeoServer的项目是一个完整的Java（J2EE）系统，现实了OpenGIS联盟的网络功能服务器规范和网络覆盖服务器规范，并且集成了Web地图服务器。GeoServer到 2.18.5 和 2.19.x 到 2.19.2 允许 SSRF 通过设置代理主机的选项。

GeoServer是一个功能齐全,遵循OGC开放标准的开源WFS-T和WMS服务器。CVE-2021-40822中，由于GeoServer对Host头验证不充分，导致攻击者可构造恶意请求绕过相关验证，发起SSRF，从而可扫描内网造成敏感数据泄漏。

GeoServer是一个功能齐全,遵循OGC开放标准的开源WFS-T和WMS服务器。CVE-2022-24816中，攻击者可构造恶意请求，在无需登录的情况下提供恶意的jiffle，从而执行任意java代码，控制服务器。

GeoServer的项目是一个完整的Java（J2EE）系统，现实了OpenGIS联盟的网络功能服务器规范和网络覆盖服务器规范，并且集成了Web地图服务器。该系统存在默认口令。