Sebelum versi 2.23.6, 2.24.4, dan 2.25.2, GeoServer memiliki kerentanan di beberapa parameter permintaan Open Geospatial Consortium (OGC) memungkinkan Remote Code Execution (RCE) oleh pengguna yang tidak terautentikasi. Kerentanan ini terjadi karena GeoServer telah mengevaluasi nama atribut data (nama properti) sebagai XPath expression tanpa memastikan keamanannya. Hal ini memungkinkan pengguna untuk memasukkan input berbahaya yang dapat mengeksekusi kode berbahaya pada instalasi GeoServer default.
Unduh Imbauan Keamanan CVE-2024-36401