La Agencia de Seguridad Cibernética y de Infraestructura de Estados Unidos (CISA) el lunes agregado una falla de seguridad crítica que afecta a OSGeo GeoServer GeoTools a sus vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa.
GeoServer es un software de código abierto Servidor escrito en Java que permite a los usuarios compartir y editar datos geoespaciales. Es la implementación de referencia de los estándares Web Feature Service (WFS) y Web Coverage Service (WCS) del Open Geospatial Consortium (OGC).
La vulnerabilidad, rastreada como CVE-2024-36401 (puntuación CVSS: 9,8) se refiere a un caso de ejecución remota de código que podría activarse a través de una entrada especialmente diseñada.
«Varios parámetros de solicitud OGC permiten la ejecución remota de código (RCE) por parte de usuarios no autenticados a través de una entrada especialmente diseñada contra una instalación predeterminada de GeoServer debido a la evaluación insegura de nombres de propiedad como expresiones XPath», según un consultivo publicado por los mantenedores del proyecto a principios de este mes.
La falla se ha solucionado en las versiones 2.23.6, 2.24.4 y 2.25.2. El investigador de seguridad Steve Ikeoka ha sido el responsable de informar sobre la falla.
Actualmente no está claro cómo se está explotando la vulnerabilidad. GeoServer señaló que «se ha confirmado que el problema se puede explotar mediante solicitudes WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic y WPS Execute».
Los mantenedores también han parcheado otro fallo crítico (CVE-2024-36404Puntuación CVSS: 9,8) que también podría dar lugar a una RCE «si una aplicación utiliza cierta funcionalidad de GeoTools para evaluar expresiones XPath suministradas por la entrada del usuario». Se ha resuelto en las versiones 29.6, 30.4 y 31.2.
A la luz del abuso activo de CVE-2024-36401, las agencias federales deben aplicar las correcciones proporcionadas por los proveedores antes del 5 de agosto de 2024.
El desarrollo se produce a medida que han surgido informes sobre la explotación activa de una vulnerabilidad de ejecución remota de código en el kit de herramientas de conversión de documentos Ghostscript (CVE-2024-29510) que podrían aprovecharse para escapar de la zona protegida -dSAFER y ejecutar código arbitrario.
La vulnerabilidad, abordada en la versión 10.03.1 tras la divulgación responsable por parte de Codean Labs el 14 de marzo de 2024, se ha utilizado desde entonces como arma para obtener acceso de shell a sistemas vulnerables, según el desarrollador de ReadMe. Bill Mill.