关键漏洞信息 漏洞标题 GWC Home Page exposes sensitive server information 影响版本 org.geoserver.web:gs-web-app (Maven) - 受影响版本:>=2.26.0, =2.26.0, <2.26.2 和 <2.25.6 - 修复版本:2.26.2 和 2.25.6 描述 摘要 GeoWebCache主页包含关于使用的软件的版本和修订信息。这些信息从安全角度来看是敏感的,因为它允许轻松识别服务器上使用的软件。 详细信息 方法没有检查以隐藏潜在敏感信息,除非有一个隐藏的系统属性来隐藏默认显示位置的存储位置。 PoC 打开 影响 除了暴露版本和修订信息外,主页还会暴露配置文件和存储位置,这可能会暴露系统的临时目录位置以及GeoServer是否在Windows操作系统中运行。还暴露了大约的服务器启动时间和一些基本的GWC使用信息。 严重性 CVSS v3 基本指标 - 攻击向量:网络 - 攻击复杂度:低 - 需要权限:无 - 用户交互:无 - 范围:不变 - 机密性:低 - 完整性:无 - 可用性:无 CVE ID CVE-2024-38524 弱点 CWE-200 参考链接 https://osgeo-org.atlassian.net/browse/GEOS-11677#8189 GeoWebCache/geowebcache#1344 GeoWebCache/geowebcache#1345