CVE-2024-36401
Mis à jour :
Failles Majeures dans GeoServer : Exécution de Code à Distance
Une vulnérabilité critique, référencée CVE-2024-36401, a été identifiée dans GeoServer, une plateforme open-source de partage de données géospatiales. Cette faille, présente dans les versions antérieures aux mises à jour 2.22.6, 2.23.6, 2.24.4 et 2.25.2, permet à des attaquants non authentifiés d’exécuter du code à distance (RCE).
Points Clés :
- Nature de la faille : Évaluation non sécurisée des noms de propriétés en tant qu’expressions XPath au sein de la bibliothèque GeoTools, utilisée par GeoServer. Cette fonctionnalité, destinée aux types de données complexes, est incorrectement appliquée aux types de données simples, affectant toutes les installations GeoServer.
- Impact : Exécution de code arbitraire à distance par des utilisateurs non authentifiés.
- Score CVSS 3.1 : 9.8 (Critique).
Vulnérabilités :
- CVE-2024-36401 : Permet l’exécution de code à distance (RCE) via l’injection d’expressions XPath dans divers paramètres de requêtes OGC (GetFeature, GetPropertyValue, GetMap, GetFeatureInfo, GetLegendGraphic, WPS Execute).
Recommandations :
- Mise à jour : Appliquer les versions corrigées de GeoServer : 2.22.6, 2.23.6, 2.24.4, ou 2.25.2.
- Solution de contournement (non recommandée pour une utilisation prolongée) : Retirer le fichier
gt-complex-x.y.jarde l’installation GeoServer. Cette action peut toutefois perturber certaines fonctionnalités.