Recientemente, se ha descubierto una grave vulnerabilidad de seguridad (CVE-2024-36401) en GeoServer, el servidor de información de ubicación de código abierto ampliamente utilizado en todo el mundo. Esta vulnerabilidad se debe a la forma en que GeoServer maneja las expresiones XPath, lo que permite a los atacantes remotos no autenticados ejecutar código arbitrario en los servidores afectados y obtener sus permisos. Se han detectado ataques aprovechando esta vulnerabilidad, por lo que se recomienda a los usuarios que actualicen lo antes posible.
GeoServer es un servidor de información espacial de código abierto que permite a los usuarios publicar y administrar datos geoespaciales utilizando varios estándares abiertos de la Open Geospatial Consortium (OGC). GeoServer es una herramienta potente y flexible que se utiliza ampliamente en gobierno, empresas y instituciones académicas.
La vulnerabilidad CVE-2024-36401 se encuentra en el intercambio de parámetros entre GeoServer y la biblioteca de API de GeoTools. GeoServer realiza operaciones inseguras al pasar el nombre de un atributo de tipo de elemento a la biblioteca de commons-jxpath, lo que permite a los atacantes inyectar expresiones XPath personalizadas y ejecutar código arbitrario. XPath es un lenguaje utilizado para seleccionar nodos en documentos XML, y la biblioteca commons-jxpath que utiliza GeoServer permite utilizar expresiones XPath en Java. Esta combinación de tecnologías permite que GeoServer maneje y consulte datos geoespaciales de manera flexible, pero también introduce riesgos de seguridad potenciales. El diseño original para la evaluación de expresiones XPath en GeoServer debería haber sido utilizado solo para evaluaciones de expresiones XPath en tipos de características complejas, como los datos de almacenamiento de aplicaciones, pero ahora se aplica incorrectamente a tipos de características simples, lo que afecta a todas las instancias de GeoServer.
En GeoServer, WFS (Web Feature Service) es un estándar definido por la OGC para compartir información espacial en la web, que permite a los usuarios realizar consultas y obtener atributos de características geoespaciales a través de servicios web. En esta vulnerabilidad, WFS es uno de los puntos de entrada para que los atacantes exploten. Pueden aprovechar una solicitud personalizada para desencadenar la vulnerabilidad. Las funciones de WFS, GetFeature, GetPropertyValue, GetMap de WMS, GetFeatureInfo, GetLegendGraphic y Execute de WPS también son vulnerables, lo que permite a los usuarios remotos no autenticados ejecutar código remoto (RCE) en GeoServer predeterminado.
Según un informe de investigación, las versiones de GeoServer y GeoTools afectadas son las siguientes:
GeoServer
•GeoServer< 2.23.6
•2.24.0 <= GeoServer < 2.24.4
•2.25.0 <= GeoServer < 2.25.2
GeoTools
•GeoTools< 29.6
•31.0 <= GeoTools < 31.2 Ejecución de código
•30.0 <= GeoTools < 30.4
Para mitigar el riesgo de la vulnerabilidad CVE-2024-36401, se pueden aplicar las siguientes medidas a GeoServer y GeoTools:
•Eliminar el archivo gt