CVE-2024-34696

Versões do GeoServer 2.10.0 a 2.24.3

Versões do GeoServer 2.25.0

O problema diz respeito à página de status do servidor do GeoServer e à API REST, que exibem todas as variáveis de ambiente e propriedades Java a qualquer usuário do GeoServer com direitos administrativos. Essas variáveis/propriedades podem conter informações confidenciais, como senhas de banco de dados ou chaves/tokens de API. O escopo exato do problema depende da imagem do contêiner utilizada e de sua configuração. O endpoint da API about status, que alimenta a página de Status do Servidor, está disponível apenas para administradores. Por padrão, o GeoServer permite apenas acesso à API autenticado da mesma origem, limitando a possibilidade de um invasor externo usar as credenciais de um administrador para obter acesso às credenciais.

Para as versões 2.10.0 a 2.24.3 do GeoServer, atualize para a versão 2.24.4 para obter a correção do bug.

Para a versão 2.25.0 do GeoServer, atualize para a versão 2.25.1 para obter a correção do bug.

Como solução alternativa, mantenha as variáveis de ambiente e as propriedades do sistema Java ocultas por padrão. Se houver a opção de reativá-las, comunique o impacto e os riscos para que os usuários possam fazer uma escolha informada.

As imagens de contêiner devem adotar uma “defesa em profundidade” para limitar o impacto quando configuradas para exibir variáveis de ambiente e/ou propriedades. Passe segredos para o contêiner como arquivos ou referências a um segredo armazenado nos metadados de um provedor de nuvem ou em um serviço de gerenciamento de segredos. Certifique-se de que qualquer arquivo de configuração