关键漏洞信息 漏洞标题 Missing Authorization on REST API Index 严重性 等级: Moderate (5.3/10) 影响的包和版本 org.geoserver.web:gs-web-app (Maven) - 受影响版本: >=2.26.0, =2.26.0, <2.26.3 和 <2.25.6 - 修复版本: 2.26.3 和 2.25.6 漏洞描述 摘要: 可以绕过默认的REST API安全设置并访问索引页面。 详细信息: REST API安全处理 及其子路径,但不处理带有扩展名的 (例如 )。 影响 REST API索引可以披露某些扩展是否已安装。 解决方案 在 中,将 路径更改为 ,并将 过滤器路径更改为 ,然后重新启动GeoServer。 参考链接 https://osgeo-org.atlassian.net/browse/GEOS-11664 https://osgeo-org.atlassian.net/browse/GEOS-11776#8170 其他信息 CVE ID: CVE-2025-27505 弱点: CWE-862 报告者: sikeoka