Vulnérabilité d’exécution de code à distance (RCE) dans la bibliothèque GeoTools de GeoServer

La vulnérabilité libellée CVE-2024-36401 affecte la bibliothèque GeoTools. Cette vulnérabilité permettrait, à un acteur malveillant non authentifié, d’exécuter du code à distance en exploitant une entrée spécialement conçue sur les installations par défaut de GeoServer. Elle découle d’une mauvaise évaluation des noms de propriété appelés XPath expressions, qui sont transmis de manière non sécurisée à la bibliothèque commons-jxpath. Lorsque ces noms de propriété sont mal évalués, ils peuvent permettre une exécution de code arbitraire. 

Cette vulnérabilité est classée critique avec un score CVSSv3 de 9.8. 

RISQUES DE SÉCURITÉ

  • Exécution de code à distance 
  • Compromission du système 
  • Accès non autorisé aux données sensibles 
  • Interruption de service

SYSTÈMES AFFECTÉS 

  • Toutes les versions de GeoServer antérieures à 2.23.6, 2.24.4 ou 2.25.2. 

MESURES À PRENDRE 

  • Mettre à jour GeoServer vers les versions 2.23.6, 2.24.4 ou 2.25.2. 


Source : bjCSIRT