CVE-2024-34696 in GeoServerالمعلومات

الملخص

بحسب VulDB • 10/06/2026

يُعد GeoServer خادمًا مفتوح المصدر يتيح للمستخدمين مشاركة بياناتهم المكانية وتحريرها. بدءًا من الإصدار 2.10.0 وحتى الإصدارات السابقة لـ 2.24.4 و 2.25.1، تعرض صفحة حالة الخادم (Server Status) وواجهة برمجة التطبيقات REST (REST API) جميع متغيرات البيئة وخصائص Java لأي مستخدم لـ GeoServer يتمتع بصلاحيات إدارية، كجزء من رسالة الحالة الخاصة بهذه الوحدات. يمكن أن تحتوي هذه المتغيرات/الخصائص أيضًا على معلومات حساسة، مثل كلمات مرور قواعد البيانات أو مفاتيح/رموز الوصول إلى واجهة برمجة التطبيقات (API keys/tokens). بالإضافة إلى ذلك، تقوم العديد من صور الحاويات (container images) التي طورها المجتمع لعرض GeoServer بتصدير بيانات اعتماد أخرى من نصوص بدء التشغيل الخاصة بها كمتغيرات بيئة إلى عملية GeoServer (java). يعتمد النطاق الدقيق للمشكلة على صورة الحاوية المستخدمة وكيفية تكوينها.

نقطة النهاية (endpoint) الخاصة بواجهة برمجة التطبيقات `about status`، التي تدعم صفحة حالة الخادم، متاحة للمسؤولين فقط. اعتمادًا على بيئة التشغيل، قد يكون للمسؤولين وصول شرعي إلى بيانات الاعتماد بطرق أخرى، لكن هذه الثغرة تتجاوز ضوابط أكثر تعقيدًا (مثل الوصول "break-glass" إلى الأسرار أو حسابات الأدوار). بشكل افتراضي، يسمح GeoServer فقط بالوصول إلى واجهة برمجة التطبيقات (API) المصادق عليها من نفس المصدر (same-origin). يحد هذا من نطاق هجوم طرف ثالث لاستخدام بيانات اعتماد مسؤول للوصول إلى بيانات الاعتماد. لم يتمكن الباحثون الذين اكتشفوا الثغرة من تحديد أي ظروف أخرى قد تكون فيها واجهة برمجة التطبيقات REST لـ GeoServer متاحة على نطاق أوسع.

يجب على المستخدمين تحديث صور الحاويات لاستخدام GeoServer 2.24.4 أو 2.25.1 للحصول على إصلاح الخلل. كحل بديل، اترك متغيرات البيئة وخصائص نظام Java مخفية بشكل افتراضي. أولئك الذين يقدمون خيار إعادة تمكين هذه الميزة يجب أن يوضحوا الأثر والمخاطر المرتبطة بها لتمكين المستخدمين من اتخاذ خيار مستنير.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

حجز

07/05/2024

إفشاء

01/07/2024

الاعتدال

تمت الموافقة

إدخال

VDB-270079

EPSS

0.00397

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!