Kritikus GeoServer RCE sérülékenység (CVE-2024-36401)
A GeoServer egy Java-alapú, nyílt forráskódú szerver, amelyet térinformatikai adatok megtekintésére, szerkesztésére és megosztására terveztek. A GeoServer-t eredetileg 2001-ben a TOPP (The Open Planning Project) indította útjára, és azzal a céllal fejlesztették ki, hogy a nyílt téradat-csere révén javítsa a nyilvánosság részvételét a kormányzati és várostervezésben. Több mint két évtizeddel később a GeoServer olyan robusztus platformmá fejlődött, amely képes különböző térbeli adatformátumok kezelésére és különböző adatforrásokkal való integrálásra.
Az OPSWAT blogbejegyzése a CVE-2024-36401 sérülékenységet vizsgálja, amelyet a GeoServerben azonosítottak. A sérülékenység lehetővé teszi távoli kódfuttatás végrehajtását nem hitelesített felhasználók számára, A CVE-2024-36401 a GeoServer 2.25.2, 2.24.4 és 2.23.6 előtti verzióit érinti. A hiba a tulajdonságnevek XPath-kifejezésekként történő nem biztonságos kiértékeléséből adódik több OGC-kérelmi paraméteren keresztül. A sérülékenység CVSS v3.1 pontszáma 9.8 (kritikus).
Javasolt frissíteni a GeoServer 2.25.2, 2.24.4 vagy 2.23.6 (vagy újabb) verziójára, amelyekben javították a biztonsági rést.
