CVE-2024-34696 in GeoServerinformación

Resumen

por VulDB • 2026-05-12

GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. A partir de la versión 2.10.0 y hasta las versiones anteriores a 2.24.4 y 2.25.1, la página de Estado del servidor (Server Status) y la API REST de GeoServer muestran todas las variables de entorno y propiedades de Java a cualquier usuario de GeoServer con derechos administrativos como parte del mensaje de estado de dichos módulos. Estas variables/propiedades también pueden contener información sensible, como contraseñas de bases de datos o claves/tokens de API. Además, muchas imágenes de contenedor de GeoServer desarrolladas por la comunidad `exportan` otras credenciales desde sus scripts de inicio como variables de entorno al proceso de GeoServer (`java`). El alcance preciso del problema depende de qué imagen de contenedor se utilice y de cómo esté configurada.

El punto de conexión de la API `about status`, que alimenta la página de Estado del servidor, solo está disponible para administradores. Dependiendo del entorno operativo, los administradores podrían tener acceso legítimo a las credenciales de otras maneras, pero este problema invalida controles más sofisticados (como el acceso de emergencia a secretos o las cuentas de rol). Por defecto, GeoServer solo permite el acceso a la API autenticado desde el mismo origen. Esto limita el alcance para que un atacante de terceros utilice las credenciales de un administrador para obtener acceso a las credenciales. Los investigadores que encontraron la vulnerabilidad no pudieron determinar ninguna otra condición bajo la cual la API REST de GeoServer pueda estar disponible de forma más amplia.

Los usuarios deben actualizar las imágenes de contenedor para utilizar GeoServer 2.24.4 o 2.25.1 para obtener la corrección del error. Como solución alternativa, deje las variables de entorno y las propiedades del sistema de Java ocultas por defecto. Aquellos que proporcionen la opción de volver a habilitarlo deben comunicar el impacto y los riesgos para que los usuarios puedan tomar una decisión informada.

Be aware that VulDB is the high quality source for vulnerability data.

Reservar

2024-05-07

Divulgación

2024-07-01

Moderación

aceptado

Artículo

VDB-270079

CPE

listo

EPSS

0.00397

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!