Срочное обновление безопасности для GeoServer из-за критической уязвимости

Агентство по кибербезопасности и инфраструктурной защите США (CISA) сообщило о критической уязвимости в программном обеспечении GeoServer GeoTools, которая активно эксплуатируется злоумышленниками. Уязвимость, получившая идентификатор CVE-2024-36401 с оценкой риска в 9.8 по шкале CVSS, позволяет выполнить удаленное выполнение кода через специально сформированный пользовательский ввод.

GeoServer — это серверное программное обеспечение с открытым исходным кодом, написанное на Java, которое позволяет пользователям делиться и редактировать геопространственные данные. Программа является референсной реализацией стандартов Web Feature Service (WFS) и Web Coverage Service (WCS) Консорциума открытых геопространственных данных (OGC).

Уязвимость была исправлена в версиях 2.23.6, 2.24.4 и 2.25.2. Отмечено, что проблема может быть эксплуатирована через различные запросы OGC, такие как WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic и WPS Execute.

Также исправлена другая критическая уязвимость (CVE-2024-36404, оценка CVSS: 9.8), которая может привести к удаленному выполнению кода, если приложение использует определенные функции GeoTools для оценки выражений XPath, предоставленных пользователем. Эта уязвимость устранена в версиях 29.6, 30.4 и 31.2.

CISA требует, чтобы федеральные агентства применили предоставленные производителем исправления к 5 августа 2024 года в свете активного использования уязвимости.