CVE-2024-36401

1 minute de lecture

Mis à jour : September 07, 2025

GeoServer : Exécution de code à distance par injection XPath

Une faille critique de sécurité, identifiée comme CVE-2024-36401, affecte GeoServer et sa bibliothèque GeoTools sous-jacente. Cette vulnérabilité permet à des attaquants non authentifiés d’exécuter du code arbitraire à distance sur les installations vulnérables. Le problème réside dans la manière dont les noms de propriétés sont évalués comme des expressions XPath au sein de la bibliothèque GeoTools, qui est ensuite utilisée par GeoServer. Cette évaluation, initialement prévue pour les types de caractéristiques complexes, est incorrectement appliquée aux types de caractéristiques simples, rendant ainsi toutes les instances de GeoServer potentiellement concernées.

L’exploitation peut se faire via divers paramètres de requête OGC, tels que WFS GetFeature, WMS GetMap, et WPS Execute, entre autres.

Points clés :

Nature de la vulnérabilité : Exécution de code à distance (RCE) via injection XPath.
Produits affectés : GeoServer et GeoTools.
Versions affectées : Toutes versions antérieures à 2.22.6, 2.23.6, 2.24.4, et 2.25.2.
Impact : Permet à des attaquants non authentifiés d’exécuter du code arbitraire.
Score CVSS 3.1 : 9.8 (Critique).
Exploitation active : La faille est connue et activement exploitée, figurant dans le catalogue des vulnérabilités connues de la CISA. Les analyses indiquent son utilisation pour des campagnes de minage de cryptomonnaies et la constitution de botnets.

Vulnérabilités identifiées :

CVE-2024-36401 : Injection XPath permettant l’exécution de code à distance dans GeoServer/GeoTools.

Recommandations :

Mise à jour : Appliquer les correctifs disponibles dans les versions 2.22.6, 2.23.6, 2.24.4, et 2.25.2 de GeoServer.
Contournement (workaround) : Supprimer le fichier gt-complex-x.y.jar de l’installation de GeoServer, bien que cela puisse affecter certaines fonctionnalités.
Action requise (CISA) : Mettre en œuvre les mesures correctives fournies par le fournisseur ou cesser l’utilisation du produit si les correctifs ne sont pas disponibles.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2024-36401

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast