CVE-2024-34696 in GeoServerinfo

Zusammenfassung

von VulDB • 07.06.2026

GeoServer ist ein Open-Source-Server, der es Nutzern ermöglicht, georäumliche Daten zu teilen und zu bearbeiten. Ab Version 2.10.0 und vor den Versionen 2.24.4 sowie 2.25.1 listet die Serverstatusseite von GeoServer sowie deren REST-API alle Umgebungsvariablen und Java-Eigenschaften für jeden GeoServer-Nutzer mit administrativen Rechten als Teil der Statusmeldung dieser Module auf. Diese Variablen/Eigenschaften können auch sensible Informationen enthalten, wie beispielsweise Datenbankpasswörter oder API-Schlüssel/Tokens. Darüber hinaus exportieren viele von der Community entwickelte GeoServer-Containerimages andere Anmeldeinformationen aus ihren Startskripten als Umgebungsvariablen an den GeoServer-Prozess (`java`). Der genaue Umfang des Problems hängt davon ab, welches Containerimage verwendet wird und wie es konfiguriert ist.

Der API-Endpunkt `about status`, der die Serverstatusseite antreibt, steht nur Administratoren zur Verfügung. Je nach Betriebssystemumgebung können Administrators auf andere Weise legitimen Zugriff auf Anmeldeinformationen haben, aber dieses Problem umgeht ausgefeiltere Kontrollmechanismen (wie den „Break-Glass"-Zugriff auf Geheimnisse oder Rollenkonten). Standardmäßig erlaubt GeoServer nur authentifizierte API-Zugriffe mit derselben Herkunft. Dies begrenzt das Potenzial für einen Angreifer von außen, die Anmeldeinformationen eines Administrators zu nutzen, um Zugriff auf weitere Credentials zu erlangen. Die Forscher, die diese Schwachstelle gefunden haben, konnten keine weiteren Bedingungen feststellen, unter denen die GeoServer-REST-API breiter verfügbar sein könnte.

Nutzer sollten ihre Containerimages aktualisieren, um GeoServer 2.24.4 oder 2.25.1 einzusetzen und so den Bugfix zu erhalten. Als Workaround sollten Umgebungsvariablen und Java-Systemeigenschaften standardmäßig ausgeblendet werden. Wer die Option bereitstellt, diese wieder zu aktivieren, sollte die Auswirkungen und Risiken kommunizieren, damit Nutzer eine informierte Entscheidung treffen können.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Reservieren

07.05.2024

Veröffentlichung

01.07.2024

Moderieren

akzeptiert

Eintrag

VDB-270079

CPE

bereit

EPSS

0.00397

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!