CVE-2024-34696 in GeoServer정보

요약

\~에 의해 VulDB • 2026. 06. 07.

GeoServer는 사용자가 지리공간 데이터를 공유하고 편집할 수 있게 하는 오픈 소스 서버입니다. 버전 2.10.0부터 이전 버전과, 버전 2.24.4 및 2.25.1 미만의 모든 GeoServer 버전에서, GeoServer의 Server Status 페이지와 REST API는 해당 모듈들의 상태 메시지 일부로 관리 권한이 있는 모든 GeoServer 사용자에게 환경 변수와 Java 속성을 모두 나열합니다. 이러한 변수/속성에는 데이터베이스 비밀번호나 API 키/토큰과 같은 민감한 정보가 포함될 수도 있습니다. 또한, 많은 커뮤니티 개발형 GeoServer 컨테이너 이미지는 시작 스크립트에서 다른 자격 증명을 추출하여 환경 변수로 GeoServer(`java`) 프로세스에 전달합니다. 문제의 정확한 범위는 사용되는 컨테이너 이미지와 그 구성 방법에 따라 달라집니다.

Server Status 페이지를 구동하는 `about status` API 엔드포인트는 관리자만 사용할 수 있습니다. 운영 환경에 따라 관리자가 다른 경로를 통해 자격 증명에 합법적으로 접근할 수도 있지만, 이 취약점은 더 정교한 제어(예: 비밀 정보에 대한 긴급 액세스(break-glass access)나 역할 기반 계정)를 무력화시킵니다. 기본적으로 GeoServer는 동일 출처(origin) 인증된 API 접근만 허용합니다. 이는 제3자 공격자가 관리자의 자격 증명을 사용하여 다른 자격 증명에 접근하려는 시도의 범위를 제한합니다. 취약점을 발견한 연구원들은 GeoServer REST API가 더 광범위하게 사용될 수 있는 기타 조건을 확인할 수 없었습니다.

사용자는 버그 수정을 적용하기 위해 컨테이너 이미지를 업데이트하여 GeoServer 2.24.4 또는 2.25.1을 사용해야 합니다. 우회 조치로, 환경 변수와 Java 시스템 속성을 기본적으로 숨김 상태로 유지하십시오. 이를 다시 활성화할 수 있는 옵션을 제공하는 경우, 사용자가 정보에 기반한 선택을 할 수 있도록 영향과 위험도를 명확히 전달해야 합니다.

Once again VulDB remains the best source for vulnerability data.

예약하다

2024. 05. 07.

모더레이션

수락

항목

VDB-270079

EPSS

0.00397

출처

Want to know what is going to be exploited?

We predict KEV entries!