プラットフォーム
java
コンポーネント
org.geoserver.web:gs-web-app
修正版
2.25.1
2.25.0
CVE-2024-34711は、GeoServer Web ApplicationにおけるSSRF(Server-Side Request Forgery)脆弱性です。この脆弱性は、不適切なURI検証により、攻撃者がXML外部エンティティ(XEE)攻撃を実行し、任意のHTTPサーバーにGETリクエストを送信することを可能にします。影響を受けるバージョンは2.25.0より前のものです。2.25.0へのアップデートでこの問題は修正されています。
この脆弱性を悪用されると、攻撃者はGeoServerサーバーを介して内部ネットワークをスキャンし、機密情報を取得する可能性があります。さらに、.xsdファイルへのアクセスも可能となり、システムに関する追加情報が漏洩するリスクがあります。攻撃者は、この脆弱性を踏み台として、内部ネットワーク内の他のシステムへの攻撃を試みることも考えられます。類似の脆弱性として、外部からのリクエストを内部リソースに転送することで機密情報を取得する攻撃が挙げられます。
この脆弱性は、CISA KEV(Known Exploited Vulnerabilities)カタログに追加される可能性があります。現時点では、公開されているPoC(Proof of Concept)は確認されていませんが、SSRF脆弱性は一般的に悪用されやすい傾向にあります。NVD(National Vulnerability Database)公開日は2025年6月10日です。
Organizations deploying GeoServer for geospatial data serving and web mapping are at risk. This includes government agencies, research institutions, and commercial enterprises relying on GeoServer for their GIS applications. Specifically, deployments utilizing older versions of GeoServer (prior to 2.25.0) and those with less stringent network security controls are particularly vulnerable.
• java / server: Monitor GeoServer logs for unusual outbound HTTP requests, especially those originating from internal IP addresses or containing suspicious URIs.
grep -i "uri=" /path/to/geoserver/logs/geoserver.log• generic web: Use curl or wget to test for SSRF by attempting to access internal resources through GeoServer.
curl http://localhost:8080/geoserver/your_service?xml=file:///etc/passwd• wordpress / composer / npm: N/A - This vulnerability is not specific to WordPress, Composer, or npm. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability is not specific to databases. • windows / supply-chain: N/A - This vulnerability is not specific to Windows or supply chains.
disclosure
エクスプロイト状況
EPSS
0.12% (30% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずGeoServerをバージョン2.25.0以降にアップデートすることを推奨します。アップデートが困難な場合は、WAF(Web Application Firewall)やリバースプロキシを使用して、悪意のあるURIパターンをブロックするルールを実装することを検討してください。また、XMLエンティティの解決を厳密に制限する設定を有効にすることも有効です。アップデート後、GeoServerのログを監視し、異常なリクエストがないか確認してください。
GeoServer をバージョン 2.25.0 以降にアップデートしてください。このバージョンには、SSRF 脆弱性を軽減する ENTITY_RESOLUTION_ALLOWLIST のデフォルト設定が含まれています。詳細については、GeoServer のドキュメントを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-34711は、GeoServer Web Applicationにおいて、不適切なURI検証により発生するXML外部エンティティ(XEE)攻撃を可能にするSSRF脆弱性です。攻撃者は内部ネットワークをスキャンし、情報を取得する可能性があります。
GeoServer Web Applicationのバージョンが2.25.0より前である場合、この脆弱性に影響を受ける可能性があります。バージョンを確認し、必要に応じてアップデートしてください。
GeoServer Web Applicationをバージョン2.25.0以降にアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、WAFやリバースプロキシを使用して、悪意のあるURIパターンをブロックするルールを実装してください。
現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用されやすい傾向にあります。最新のセキュリティ情報を常に監視してください。
GeoServerの公式アドバイザリは、GeoToolsのウェブサイトで確認できます。詳細な情報や修正プログラムのダウンロードはこちらから:[https://geotools.org/](https://geotools.org/)
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。