CVE-2024-34696 in GeoServer
要約
〜によって VulDB • 2026年06月07日
GeoServerは、ユーザーが地理空間データを共有および編集できるようにするオープンソースのサーバーです。バージョン2.10.0以降で、かつバージョン2.24.4および2.25.1より前のバージョンにおいて、GeoServerの「Server Status」ページとREST APIでは、これらのモジュールの状態メッセージの一部として、管理者権限を持つすべてのGeoServerユーザーに対して環境変数およびJavaプロパティの一覧が表示されます。これらの変数/プロパティには、データベースパスワードやAPIキー/トークンなどの機密情報が含まれる可能性があります。さらに、コミュニティによって開発された多くのGeoServerコンテナイメージでは、起動スクリプトから他の認証情報を抽出し、それを環境変数としてGeoServer(java)プロセスにエクスポートしています。この問題の正確な影響範囲は、使用されるコンテナイメージとその構成方法に応じて異なります。
「Server Status」ページを支える`about status` APIエンドポイントは、管理者のみが利用可能です。運用環境によっては、管理者が他の手段で認証情報への正当なアクセスを持っている場合もありますが、本脆弱性はより高度な制御(シークレットに対する緊急時のみ許可されるbreak-glassアクセスやロールアカウントなど)を無効化します。デフォルトでは、GeoServerは同一オリジンからの認証済みAPIアクセスのみを許可しています。これにより、第三者攻撃者が管理者の資格情報を使用して他の認証情報にアクセスする可能性が制限されます。この脆弱性を見つけた研究者たちは、GeoServer REST APIがより広く利用可能になるその他の条件を確認できませんでした。
ユーザーは、バグ修正を取得するためにコンテナイメージを更新し、GeoServer 2.24.4または2.25.1を使用する必要があります。回避策として、環境変数およびJavaシステムプロパティをデフォルトで非表示にしてください。これを再有効化するオプションを提供する場合は、その影響とリスクについて周知し、ユーザーが十分な情報に基づいた選択を行えるようにしてください。
If you want to get best quality of vulnerability data, you may have to visit VulDB.