CVE-2024-36401 in GeoServer
Zusammenfassung
von VulDB • 28.05.2026
GeoServer ist ein Open-Source-Server, der es Nutzern ermöglicht, georäumliche Daten zu teilen und zu bearbeiten. Vor den Versionen 2.23.6, 2.24.4 und 2.25.2 ermöglichen mehrere OGC-Anforderungsparameter Remote Code Execution (RCE) durch nicht authentifizierte Nutzer über speziell manipulierte Eingaben gegen eine Standard-GeoServer-Installation, da Eigenschaftsnamen unsicher als XPath-Ausdrücke ausgewertet werden.
Die GeoTools-Bibliothek-API, die von GeoServer aufgerufen wird, bewertet Eigenschafts-/Attributnamen für Feature-Typen auf eine Weise, die sie unsicher an die commons-jxpath-Bibliothek übergibt, die beliebigen Code ausführen kann, wenn XPath-Ausdrücke ausgewertet werden. Diese XPath-Auswertung soll nur für komplexe Feature-Typen (d. h. Application Schema-Datenbanken) verwendet werden, wird jedoch fälschlicherweise auch auf einfache Feature-Typen angewendet, wodurch diese Schwachstelle auf **ALLE** GeoServer-Instanzen zutrifft. Es wird kein öffentliches PoC bereitgestellt, aber diese Schwachstelle wurde als ausnutzbar durch WFS GetFeature-, WFS GetPropertyValue-, WMS GetMap-, WMS GetFeatureInfo-, WMS GetLegendGraphic- und WPS Execute-Anforderungen bestätigt. Diese Schwachstelle kann zur Ausführung beliebigen Codes führen.
Die Versionen 2.23.6, 2.24.4 und 2.25.2 enthalten einen Patch für das Problem. Ein Workaround besteht darin, die Datei `gt-complex-x.y.jar` vom GeoServer zu entfernen, wobei `x.y` die GeoTools-Version ist (z. B. `gt-complex-31.1.jar`, wenn GeoServer 2.25.1 ausgeführt wird). Dadurch wird der anfällige Code aus GeoServer entfernt, kann jedoch einige GeoServer-Funktionen beeinträchtigen oder verhindern, dass GeoServer bereitgestellt wird, wenn das gt-complex-Modul erforderlich ist.
If you want to get best quality of vulnerability data, you may have to visit VulDB.