CVE-2024-36401

Versões do GeoServer anteriores às 2.22.6, 2.23.6, 2.24.4 e 2.25.2

Versões do GeoTools anteriores às 29.6, 30.4 e 31.2

O GeoServer, um servidor de código aberto usado para compartilhar e editar dados geoespaciais, contém uma vulnerabilidade de execução remota de código (RCE). Essa falha se deve à avaliação insegura de nomes de propriedades como expressões XPath, permitindo que usuários não autenticados executem código arbitrário por meio de entradas especialmente criadas. A vulnerabilidade existe porque a API da biblioteca GeoTools usada pelo GeoServer lida indevidamente com nomes de propriedades/atributos para tipos de recursos, passando-os de forma insegura para a biblioteca commons-jxpath, que pode executar código arbitrário ao avaliar expressões XPath. Este problema afeta todas as instâncias do GeoServer. Vários agentes de ameaças estão explorando ativamente esta vulnerabilidade para implantar malware, incluindo mineradores de criptomoedas, botnets e backdoors. Campanhas recentes envolvem o uso de técnicas de spear-phishing e a exploração da vulnerabilidade para monetizar a largura de banda das vítimas. Observou-se que o grupo APT Earth Baxia tem como alvo os setores governamental e de energia na região Ásia-Pacífico utilizando essa vulnerabilidade. A vulnerabilidade foi explorada em ataques contra uma agência federal dos EUA, resultando em movimento lateral e na implantação de web shells.

Versões do GeoServer anteriores à 2.22.6: atualize para a versão 2.22.6 ou posterior.

Versões do GeoServer anteriores à 2.23.6: atualize para a versão 2.23.6 ou posterior.

GeoS