Platform
java
Component
org.geoserver.web:gs-web-app
Opgelost in
2.23.6
2.24.1
2.23.5
CVE-2024-24749 beschrijft een kwetsbaarheid in GeoServer, specifiek in de ByteStreamController klasse van de GeoWebCache module. Deze kwetsbaarheid stelt een aanvaller in staat om inputvalidatie te omzeilen en willekeurige classpath resources te lezen, met potentieel verhoogde privileges. De kwetsbaarheid treedt op in GeoServer-implementaties die draaien op Windows met Apache Tomcat en waarbij de data directory is ingebed in het geoserver.war bestand. Een upgrade naar versie 2.23.5 is beschikbaar om dit probleem te verhelpen.
De impact van CVE-2024-24749 is significant, vooral in omgevingen waar GeoServer op Windows draait met Apache Tomcat en de data directory is ingebed in het geoserver.war bestand. Een succesvolle exploitatie kan een aanvaller in staat stellen om gevoelige informatie uit de classpath resources te extraheren, zoals configuratiebestanden, credentials of andere interne data. In het ergste geval kan dit leiden tot het verkrijgen van administrator privileges, waardoor de aanvaller volledige controle over de GeoServer-installatie kan uitoefenen en mogelijk toegang kan krijgen tot onderliggende systemen. De mogelijkheid om resources te lezen die administrator privileges vereisen, verhoogt de ernst van deze kwetsbaarheid aanzienlijk. Dit is vergelijkbaar met scenario's waarin gevoelige data wordt blootgesteld door onjuiste configuratie van webapplicaties.
CVE-2024-24749 is openbaar bekend en de details van de kwetsbaarheid zijn beschikbaar. Er is momenteel geen bevestigde informatie over actieve exploitatiecampagnes, maar de publicatie van de kwetsbaarheid en de relatief eenvoudige exploitatie vereisen waakzaamheid. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en de CISA KEV catalogus, wat de ernst ervan onderstreept. Er zijn publieke proof-of-concept (POC) exploits beschikbaar, wat het risico op misbruik vergroot.
Organizations deploying GeoServer on Windows with Apache Tomcat, particularly those using embedded data directories, are at the highest risk. Legacy GeoServer installations and environments with limited security monitoring are also vulnerable. Shared hosting environments where GeoServer is deployed alongside other applications should be carefully assessed.
• linux / server:
find /opt/geoserver/ -name '*.class' -exec grep -i 'ByteStreamController' {} + | grep -i 'readfile' • java / server:
Examine GeoServer logs for unusual file access attempts, especially those targeting classpath resources. Look for patterns indicating attempts to read files outside of expected directories.
• generic web:
Use curl or wget to probe GeoServer endpoints and observe responses for unexpected file content or error messages related to file access.
disclosure
Exploit Status
EPSS
0.22% (44% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2024-24749 is het upgraden van GeoServer naar versie 2.23.5 of hoger. Dit omvat het vervangen van de bestaande geoserver.war file door de nieuwe versie. Indien een upgrade direct niet mogelijk is, overweeg dan om de data directory buiten het geoserver.war bestand te plaatsen. Dit voorkomt dat de classpath resources direct toegankelijk zijn. Daarnaast kan het implementeren van een Web Application Firewall (WAF) helpen om verdachte verzoeken te blokkeren die proberen toegang te krijgen tot de ByteStreamController. Controleer de GeoServer logs op ongebruikelijke activiteit en implementeer detectie signatures (YARA/Sigma) om pogingen tot exploitatie te identificeren. Na de upgrade, bevestig de correcte werking van GeoServer en controleer de logs op eventuele fouten.
Actualice GeoServer a la versión 2.23.5 o 2.24.3 o superior. Como alternativa, cambie el entorno de Windows a Linux, o cambie el servidor de aplicaciones de Apache Tomcat a Jetty. También puede deshabilitar el acceso anónimo a las páginas de administración y estado de GeoWebCache integradas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-24749 is a high-severity vulnerability in GeoServer versions before 2.23.5 that allows attackers to read arbitrary classpath resources by bypassing input validation, potentially leading to privilege escalation.
You are affected if you are running GeoServer versions prior to 2.23.5, especially if deployed on Windows with Apache Tomcat and using an embedded data directory.
Upgrade GeoServer to version 2.23.5 or later. If immediate upgrade is not possible, use an external data directory instead of an embedded one.
There is currently no indication of active exploitation in the wild or publicly available proof-of-concept code.
Refer to the official GeoServer security advisory on their website for detailed information and updates: [https://www.geoserver.org/news/security-advisory-2024-07-01.html](https://www.geoserver.org/news/security-advisory-2024-07-01.html)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.