CVE-2024-34696 in GeoServerinformação

Sumário

de VulDB • 05/06/2026

O GeoServer é um servidor de código aberto que permite aos usuários compartilhar e editar dados geoespaciais. A partir da versão 2.10.0 e até as versões anteriores a 2.24.4 e 2.25.1, a página Server Status (Status do Servidor) e a API REST do GeoServer listam todas as variáveis de ambiente e propriedades Java para qualquer usuário do GeoServer com direitos administrativos como parte da mensagem de status desses módulos. Essas variáveis/propriedades também podem conter informações sensíveis, como senhas de banco de dados ou chaves/tokens de API. Além disso, muitas imagens de contêiner desenvolvidas pela comunidade `exportam` outras credenciais de seus scripts de inicialização como variáveis de ambiente para o processo do GeoServer (`java`). O escopo preciso da questão depende de qual imagem de contêiner é usada e de como ela está configurada.

O endpoint da API `about status`, que alimenta a página Server Status, está disponível apenas para administradores. Dependendo do ambiente operacional, os administradores podem ter acesso legítimo às credenciais por outras vias, mas esta questão invalida controles mais sofisticados (como o acesso "break-glass" a segredos ou contas de função). Por padrão, o GeoServer permite apenas acesso autenticado à API com mesma origem. Isso limita o escopo para que um atacante de terceiros use as credenciais de um administrador para obter acesso às credenciais. Os pesquisadores que encontraram a vulnerabilidade não conseguiram determinar outras condições sob as quais a API REST do GeoServer possa estar disponível mais amplamente.

Os usuários devem atualizar suas imagens de contêiner para usar o GeoServer 2.24.4 ou 2.25.1 para obter a correção do bug. Como solução alternativa, deixe as variáveis de ambiente e as propriedades do sistema Java ocultas por padrão. Aqueles que fornecem a opção de reativá-la devem comunicar o impacto e os riscos para que os usuários possam fazer uma escolha informada.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Reservar

07/05/2024

Divulgação

01/07/2024

Moderação

aceite

Entrada

VDB-270079

CPE

pronto

EPSS

0.00397

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!