[TLP:CLEAR] GeoServer a GeoTools opravujú 2 zraniteľnosti
GeoServer a GeoTools opravujú 2 zraniteľnosti. Oprava sa nachádza vo verziách 2.23.6, 2.24.4 a 2.25.2 pre GeoServer a vo verziách 31.2, 30.4 a 29.6 pre GeoTools [1][2].
Neautentizovanému vzdialenému útočníkovi je v GeoTools umožnené neoprávnene vykonávať kód. Zraniteľnosť je zneužiteľná iba v prípade, že aplikácia využíva funkcionalitu z "gt-complex", teda ako dočasnú opravu je možné vymazať súbor "gt-complex-x.y.jar", čo ale môže ovplyvniť celkovú funkcionalitu produktu [2]. Viac informácií k dočasnej oprave a PoC je možné nájsť na [2].
Zraniteľnosť sa nachádza v produkte GeoTools vo verziách (>=30.0 AND <30.4) OR (>=31.0 AND <31.2) OR (<29.6)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-36404 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 2. 7. 2024.
Neautentizovanému vzdialenému útočníkovi je v GeoServer umožnené neoprávnene vykonávať kód zasielaním špeciálne vytvorených OGC požiadaviek. Zraniteľnosť je zneužiteľná iba v prípade, že aplikácia využíva funkcionalitu z "gt-complex", teda ako dočasnú opravu je možné vymazať súbor "gt-complex-x.y.jar", čo ale môže ovplyvniť celkovú funkcionalitu produktu. Viac informácií k dočasnej oprave je možné nájsť na [1].
Zraniteľnosť sa nachádza v produkte GeoServer vo verziách (>=2.24.0 AND <2.24.4) OR (>=2.25.0 AND <2.25.2) OR (<2.23.6)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-36401 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 1. 7. 2024.
Odkazy
Publikoval Martin Krajči dňa 9. 7. 2024.
