Američka agencija za cyber sigurnost i sigurnost infrastrukture (CISA) u ponedjeljak je dodala kritičnu sigurnosnu grešku koja utiče na OSGeo GeoServer GeoTools u svoj katalog poznatih eksploatiranih ranjivosti (KEV), na osnovu dokaza o aktivnoj eksploataciji.
GeoServer je softverski server otvorenog koda napisan u Javi koji korisnicima omogućava dijeljenje i uređivanje geoprostornih podataka. To je referentna implementacija standarda Otvorenog geoprostornog konzorcijuma (OGC) Web Feature Service (WFS) i Web Coverage Service (WCS).
Ranjivost, praćena kao CVE-2024-36401 (CVSS rezultat: 9,8), odnosi se na slučaj daljinskog izvršavanja koda koji bi mogao biti pokrenut putem posebno kreiranog unosa.
“Više parametara OGC zahtjeva omogućavaju daljinsko izvršavanje koda (RCE) od strane neovlaštenih korisnika putem posebno kreiranog unosa prema zadanoj instalaciji GeoServera zbog nesigurnog procjenjivanja imena svojstava kao XPath izraza”, navodi se u upozorenju koje su organizatori projekta objavili ranije ovog mjeseca.
Nedostatak je otklonjen u verzijama 2.23.6, 2.24.4 i 2.25.2. Istraživač sigurnosti Steve Ikeoka je zaslužan za prijavu greške.
Trenutno nije jasno kako se ranjivost iskorištava u divljini. GeoServer je napomenuo da je “potvrđeno da se problem može iskoristiti putem zahtjeva za WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic i WPS Execute.”
Održavači su također zakrpili još jednu kritičnu grešku (CVE-2024-36404, CVSS rezultat: 9,8) koja bi takođe mogla rezultiovati RCE-om “ako aplikacija koristi određene funkcije GeoTools za procjenu XPath izraza dostavljenih korisničkim unosom.” To je riješeno u verzijama 29.6, 30.4 i 31.2.
U svjetlu aktivne zloupotrebe CVE-2024-36401, savezne agencije su dužne primijeniti ispravke koje je dao dobavljač do 5. avgusta 2024. godine.
Razvoj dolazi nakon što su se pojavili izvještaji o aktivnoj eksploataciji ranjivosti udaljenog izvršavanja koda u Ghostscript alatu za konverziju dokumenata (CVE-2024-29510) koji bi se mogao iskoristiti da se izbjegne -dSAFER sandbox i pokrene proizvoljni kod.
Ranjivost, adresirana u verziji 10.03.1 nakon odgovornog otkrivanja od strane Codean Labs-a 14. marta 2024. godine, od tada je naoružana da bi se dobio pristup ljusci ranjivim sistemima, prema ReadMe programeru Billu Millu.
Izvor:The Hacker News