CVE-2024-36401
Mis à jour :
Fuite de code à distance critique dans GeoServer
Une vulnérabilité critique, référencée sous le code CVE-2024-36401, affecte le logiciel open-source GeoServer, un serveur utilisé pour le partage et l’édition de données géospatiales. Les versions antérieures aux numéros 2.22.6, 2.23.6, 2.24.4 et 2.25.2 sont concernées.
Points clés :
- Nature de la vulnérabilité : Permet l’exécution de code à distance (RCE).
- Impact : Des utilisateurs non authentifiés peuvent exécuter du code arbitraire sur des installations GeoServer par défaut.
- Cause : Évaluation non sécurisée des noms de propriétés en tant qu’expressions XPath dans la bibliothèque GeoTools, utilisée par GeoServer. Cela affecte tous les types de fonctionnalités, simples et complexes.
- Méthodes d’exploitation : Exploitable via plusieurs paramètres de requêtes OGC, notamment WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic et WPS Execute.
- Gravité : Score CVSS 3.1 de 9.8 (critique).
- Contexte d’exploitation : La vulnérabilité est activement exploitée, notamment pour rediriger le trafic, installer des mineurs de cryptomonnaies, et construire des botnets. Des preuves de concept (PoC) publiques existent.
Vulnérabilités identifiées :
- CVE-2024-36401 : Permet l’exécution de code à distance via l’injection d’expressions XPath dans les noms de propriétés.
Recommandations :
- Mise à jour : Appliquer le correctif disponible dans les versions 2.22.6, 2.23.6, 2.24.4 et 2.25.2 de GeoServer.
- Solution de contournement (non recommandée en production) : Supprimer le fichier
gt-complex-x.y.jarde l’installation GeoServer. Cette action peut cependant entraîner une interruption de certaines fonctionnalités ou empêcher le déploiement de GeoServer si ce module est requis.