Plataforma
java
Componente
org.geoserver.web:gs-web-app
Corregido en
2.23.6
2.24.1
2.23.5
La vulnerabilidad CVE-2024-24749 permite la lectura de archivos arbitrarios del classpath en GeoServer, específicamente en entornos Windows que utilizan Apache Tomcat. Esta falla de seguridad se origina en una validación de entrada deficiente en la clase GeoWebCache ByteStreamController. La explotación exitosa podría resultar en la obtención de privilegios administrativos, especialmente si el directorio de datos de GeoServer está integrado en el archivo WAR. La versión 2.23.5 es la versión corregida.
Un atacante podría aprovechar esta vulnerabilidad para leer archivos sensibles del classpath de GeoServer. En configuraciones donde el directorio de datos está integrado en el archivo geoserver.war, la lectura de archivos específicos podría permitir al atacante escalar privilegios y obtener control administrativo sobre el servidor GeoServer. Esto podría resultar en la modificación de datos geoespaciales, la interrupción del servicio o el acceso no autorizado a información confidencial. El impacto es mayor en entornos de desarrollo o pruebas que utilizan configuraciones predeterminadas con el directorio de datos embebido, aunque la descripción indica que esto es poco común en producción.
Esta vulnerabilidad fue publicada el 1 de julio de 2024. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción. La probabilidad de explotación es considerada moderada, dado que requiere un entorno específico (Windows/Tomcat con directorio de datos embebido) y un conocimiento del classpath de GeoServer. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad la hace susceptible a ser explotada una vez que se disponga de un PoC.
Organizations deploying GeoServer on Windows with Apache Tomcat, particularly those using embedded data directories, are at the highest risk. Legacy GeoServer installations and environments with limited security monitoring are also vulnerable. Shared hosting environments where GeoServer is deployed alongside other applications should be carefully assessed.
• linux / server:
find /opt/geoserver/ -name '*.class' -exec grep -i 'ByteStreamController' {} + | grep -i 'readfile' • java / server:
Examine GeoServer logs for unusual file access attempts, especially those targeting classpath resources. Look for patterns indicating attempts to read files outside of expected directories.
• generic web:
Use curl or wget to probe GeoServer endpoints and observe responses for unexpected file content or error messages related to file access.
disclosure
Estado del Exploit
EPSS
0.22% (44% percentil)
Vector CVSS
La mitigación principal es actualizar GeoServer a la versión 2.23.5 o posterior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda restringir el acceso al directorio de datos de GeoServer para evitar la lectura no autorizada de archivos. Además, se debe revisar la configuración de Tomcat para asegurar que no se permitan accesos no deseados al classpath. Implementar reglas en un Web Application Firewall (WAF) que bloqueen solicitudes que intenten acceder a recursos del classpath con extensiones específicas también puede ayudar a mitigar el riesgo. No se han publicado firmas Sigma o YARA específicas para esta vulnerabilidad, pero se recomienda monitorear los logs de GeoServer y Tomcat en busca de patrones de acceso inusuales.
Actualice GeoServer a la versión 2.23.5 o 2.24.3 o superior. Alternativamente, cambie el entorno de Windows a Linux, o cambie el servidor de aplicaciones de Apache Tomcat a Jetty. También puede deshabilitar el acceso anónimo a las páginas de administración y estado integradas de GeoWebCache.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-24749 is a high-severity vulnerability in GeoServer versions before 2.23.5 that allows attackers to read arbitrary classpath resources by bypassing input validation, potentially leading to privilege escalation.
You are affected if you are running GeoServer versions prior to 2.23.5, especially if deployed on Windows with Apache Tomcat and using an embedded data directory.
Upgrade GeoServer to version 2.23.5 or later. If immediate upgrade is not possible, use an external data directory instead of an embedded one.
There is currently no indication of active exploitation in the wild or publicly available proof-of-concept code.
Refer to the official GeoServer security advisory on their website for detailed information and updates: [https://www.geoserver.org/news/security-advisory-2024-07-01.html](https://www.geoserver.org/news/security-advisory-2024-07-01.html)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.