Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • CISA advierte sobre una falla RCE explotada activamente en el software GeoTools de GeoServer
  • Tecnología

CISA advierte sobre una falla RCE explotada activamente en el software GeoTools de GeoServer

teknomers 16 de Temmuz de 2024 (Last updated: 16 de Temmuz de 2024) 3 minutes read
CISA advierte sobre una falla RCE explotada activamente en el


16 de julio de 2024Sala de prensaVulnerabilidad / Seguridad de la infraestructura

La Agencia de Seguridad Cibernética y de Infraestructura de Estados Unidos (CISA) el lunes agregado una falla de seguridad crítica que afecta a OSGeo GeoServer GeoTools a sus vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa.

GeoServer es un software de código abierto Servidor escrito en Java que permite a los usuarios compartir y editar datos geoespaciales. Es la implementación de referencia de los estándares Web Feature Service (WFS) y Web Coverage Service (WCS) del Open Geospatial Consortium (OGC).

La seguridad cibernética

La vulnerabilidad, rastreada como CVE-2024-36401 (puntuación CVSS: 9,8) se refiere a un caso de ejecución remota de código que podría activarse a través de una entrada especialmente diseñada.

“Varios parámetros de solicitud OGC permiten la ejecución remota de código (RCE) por parte de usuarios no autenticados a través de una entrada especialmente diseñada contra una instalación predeterminada de GeoServer debido a la evaluación insegura de nombres de propiedad como expresiones XPath”, según un consultivo publicado por los mantenedores del proyecto a principios de este mes.

La falla se ha solucionado en las versiones 2.23.6, 2.24.4 y 2.25.2. El investigador de seguridad Steve Ikeoka ha sido el responsable de informar sobre la falla.

Actualmente no está claro cómo se está explotando la vulnerabilidad. GeoServer señaló que “se ha confirmado que el problema se puede explotar mediante solicitudes WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic y WPS Execute”.

Los mantenedores también han parcheado otro fallo crítico (CVE-2024-36404Puntuación CVSS: 9,8) que también podría dar lugar a una RCE “si una aplicación utiliza cierta funcionalidad de GeoTools para evaluar expresiones XPath suministradas por la entrada del usuario”. Se ha resuelto en las versiones 29.6, 30.4 y 31.2.

A la luz del abuso activo de CVE-2024-36401, las agencias federales deben aplicar las correcciones proporcionadas por los proveedores antes del 5 de agosto de 2024.

El desarrollo se produce a medida que han surgido informes sobre la explotación activa de una vulnerabilidad de ejecución remota de código en el kit de herramientas de conversión de documentos Ghostscript (CVE-2024-29510) que podrían aprovecharse para escapar de la zona protegida -dSAFER y ejecutar código arbitrario.

La vulnerabilidad, abordada en la versión 10.03.1 tras la divulgación responsable por parte de Codean Labs el 14 de marzo de 2024, se ha utilizado desde entonces como arma para obtener acceso de shell a sistemas vulnerables, según el desarrollador de ReadMe. Bill Mill.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Con el apoyo de las gradas de París, Bo van Wetering quiere destacar en los Juegos
Next: ¡Robo de transferencia de 50 millones de euros del Galatasaray al Fenerbahçe! Se habla mucho de este nombre.

Related Stories

Galaxy Z Flip 8: esta filtración preocupante podría arruinarlo todo
  • Tecnología

Galaxy Z Flip 8: esta filtración preocupante podría arruinarlo todo antes de su lanzamiento

teknomers 16 de Temmuz de 2026
Visaje agrietado, pepinillo, faro: se revelan los diseños de los
  • Tecnología

Visaje agrietado, pepinillo, faro: se revelan los diseños de los 9 futuros emojis

teknomers 16 de Temmuz de 2026
RMC BFM ha perdido casi un 40 % de su
  • Tecnología

RMC BFM ha perdido casi un 40 % de su valor en 18 meses desde su adquisición por CMA CGM

teknomers 16 de Temmuz de 2026

You May Have Missed

  • General

La inclusión comunitaria es el enfoque clave en la reunión de expertos técnicos de BRICS sobre resiliencia urbana inteligente ante el clima: NDMA

teknomers 16 de Temmuz de 2026
Tour de Francia 2026, etapa 12: recorrido y perfil de
  • Deporte

Tour de Francia 2026, etapa 12: recorrido y perfil de la etapa del día entre Magny-Cours y Chalon-sur-Saône

teknomers 16 de Temmuz de 2026
  • General

«Reforzar la seguridad de un aliado»: por qué Estados Unidos vende armas a Arabia Saudita por dos mil millones de dólares

teknomers 16 de Temmuz de 2026
Galaxy Z Flip 8: esta filtración preocupante podría arruinarlo todo
  • Tecnología

Galaxy Z Flip 8: esta filtración preocupante podría arruinarlo todo antes de su lanzamiento

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.