Platform
java
Component
org.geoserver.web:gs-web-app
Opgelost in
2.25.1
2.25.0
CVE-2024-34711 beschrijft een kritieke Server-Side Request Forgery (SSRF) kwetsbaarheid in de GeoServer web applicatie. Deze kwetsbaarheid stelt een onbevoegde aanvaller in staat om via XML External Entities (XEE) GET-verzoeken naar willekeurige HTTP-servers te sturen, wat kan leiden tot interne netwerkscanning en informatieverlies. De kwetsbaarheid treft versies van GeoServer vóór 2.25.0. Een upgrade naar de beveiligde versie is vereist om de risico's te mitigeren.
Een succesvolle exploitatie van CVE-2024-34711 kan aanzienlijke gevolgen hebben. Aanvallers kunnen interne netwerken in kaart brengen door GET-verzoeken naar interne services te sturen, waardoor gevoelige informatie kan worden blootgelegd. Bovendien kunnen ze beperkte .xsd-bestanden op het systeem lezen, wat verdere exploitatie mogelijk maakt. De impact is vergelijkbaar met andere SSRF-kwetsbaarheden, waarbij de aanvaller de server kan misbruiken om toegang te krijgen tot bronnen die normaal gesproken niet toegankelijk zijn. De blast radius is afhankelijk van de interne netwerkconfiguratie en de gevoeligheid van de blootgestelde services.
Op dit moment is er geen openbare exploitatie van CVE-2024-34711 bekend, maar de kwetsbaarheid is kritiek geclassificeerd vanwege de potentiële impact. De kwetsbaarheid is openbaar gemaakt op 2025-06-10. Er is geen vermelding op CISA KEV op het moment van schrijven. Het is raadzaam om de kwetsbaarheid serieus te nemen en onmiddellijk te mitigeren.
Organizations deploying GeoServer for geospatial data serving and web mapping are at risk. This includes government agencies, research institutions, and commercial enterprises relying on GeoServer for their GIS applications. Specifically, deployments utilizing older versions of GeoServer (prior to 2.25.0) and those with less stringent network security controls are particularly vulnerable.
• java / server: Monitor GeoServer logs for unusual outbound HTTP requests, especially those originating from internal IP addresses or containing suspicious URIs.
grep -i "uri=" /path/to/geoserver/logs/geoserver.log• generic web: Use curl or wget to test for SSRF by attempting to access internal resources through GeoServer.
curl http://localhost:8080/geoserver/your_service?xml=file:///etc/passwd• wordpress / composer / npm: N/A - This vulnerability is not specific to WordPress, Composer, or npm. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability is not specific to databases. • windows / supply-chain: N/A - This vulnerability is not specific to Windows or supply chains.
disclosure
Exploit Status
EPSS
0.12% (30% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-34711 is het upgraden naar GeoServer versie 2.25.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) met regels om XEE-aanvallen te blokkeren. Controleer de GeoServer configuratie om ervoor te zorgen dat URI-validatie correct is ingesteld en dat onnodige externe URI-toegang is beperkt. Monitor GeoServer logs op verdachte activiteiten, zoals ongebruikelijke GET-verzoeken naar interne of externe bronnen. Na de upgrade, verifieer de fix door te proberen een XEE-aanval uit te voeren en te controleren of deze wordt geblokkeerd.
Werk GeoServer bij naar versie 2.25.0 of hoger. Deze versie bevat een standaardconfiguratie van ENTITY_RESOLUTION_ALLOWLIST die de SSRF kwetsbaarheid verzacht. Raadpleeg de GeoServer documentatie voor meer details over het configureren van externe entities.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-34711 is a critical SSRF vulnerability in GeoServer's web application, allowing attackers to send unauthorized requests and potentially scan internal networks. It affects versions before 2.25.0.
You are affected if you are running GeoServer versions prior to 2.25.0. Assess your environment and upgrade as soon as possible.
Upgrade GeoServer to version 2.25.0 or later. As a temporary workaround, implement WAF rules to block suspicious URIs.
While no active exploitation has been confirmed, the vulnerability's severity and SSRF nature suggest a high likelihood of future exploitation. Monitor security advisories.
Refer to the official GeoServer security advisories on the GeoServer website for the latest information and updates regarding CVE-2024-34711.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.