CVE-2024-36401
Mis à jour :
GeoServer : Exécution de Code à Distance via XPath
Une vulnérabilité critique, identifiée comme CVE-2024-36401, affecte GeoServer, un serveur de données géospatiales open source. Elle permet l’exécution de code à distance (RCE) par des utilisateurs non authentifiés, avec un score CVSS de 9.8.
Points Clés et Vulnérabilités :
- CVE ID : CVE-2024-36401
- Produits Affectés : GeoServer, GeoTools.
- Type de Vulnérabilité : Injection d’expression XPath.
- Mécanisme : La librairie GeoTools, utilisée par GeoServer, évalue de manière non sécurisée les noms de propriétés comme des expressions XPath. Cette évaluation est incorrectement appliquée aux types de caractéristiques simples (simple feature types) au lieu des types de caractéristiques complexes (complex feature types) uniquement. Cela permet l’exécution de code arbitraire via la librairie
commons-jxpath. - Impact : Permet à des attaquants non authentifiés d’exécuter du code à distance sur le serveur.
- Vecteurs d’Attaque : Exploitable via plusieurs paramètres de requêtes OGC, notamment WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic, et WPS Execute.
- Applicabilité : Concerne toutes les installations GeoServer car la faille est présente dans l’évaluation des types de caractéristiques simples.
- Exploitation : Signalé comme activement exploité, notamment pour distribuer des mineurs de cryptomonnaies et rediriger du trafic.
Versions Affectées :
Toutes les versions antérieures à :
- GeoServer 2.22.6
- GeoServer 2.23.6
- GeoServer 2.24.4
- GeoServer 2.25.2
Recommandations :
- Mise à jour : Installer les versions corrigées de GeoServer (2.22.6, 2.23.6, 2.24.4, ou 2.25.2 et ultérieures).
- Contournement (Workaround) : Si la mise à jour n’est pas immédiatement possible, il est possible de supprimer le fichier
gt-complex-x.y.jarde l’installation GeoServer (x.ycorrespondant à la version de GeoTools). Cependant, cette action peut potentiellement affecter certaines fonctionnalités de GeoServer.