Ciberseguridad 360 | CISA alerta sobre vulnerabilidad RCE Activa en GeoTools de GeoServer

La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de EE.UU. a�adi� el lunes un fallo de seguridad cr�tico que afecta a OSGeo GeoServer GeoTools a su cat�logo de Vulnerabilidades Explotadas Conocidas (KEV), bas�ndose en pruebas de explotaci�n activa.

GeoServer es un servidor de software de c�digo abierto escrito en Java que permite a los usuarios compartir y editar datos geoespaciales. Es la implementaci�n de referencia de los est�ndares Web Feature Service (WFS) y Web Coverage Service (WCS) del Open Geospatial Consortium (OGC).

La vulnerabilidad, rastreada como CVE-2024-36401 (puntuaci�n CVSS: 9,8), se refiere a un caso de ejecuci�n remota de c�digo que podr�a desencadenarse a trav�s de una entrada especialmente dise�ada.

�M�ltiples par�metros de solicitud OGC permiten la ejecuci�n remota de c�digo (RCE) por usuarios no autenticados a trav�s de una entrada especialmente dise�ada contra una instalaci�n GeoServer por defecto debido a la evaluaci�n insegura de nombres de propiedades como expresiones XPath�, seg�n un aviso publicado por los responsables del proyecto a principios de este mes.

El fallo se ha corregido en las versiones 2.23.6, 2.24.4 y 2.25.2. El investigador de seguridad Steve Ikeoka es el autor del fallo.

Actualmente no est� claro c�mo se est� explotando la vulnerabilidad. GeoServer se�al� que �se ha confirmado que el problema puede explotarse a trav�s de las solicitudes WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic y WPS Execute�.

Tambi�n ha sido parcheado por los mantenedores otro fallo cr�tico (CVE-2024-36404, puntuaci�n CVSS: 9,8) que tambi�n podr�a resultar en RCE �si una aplicaci�n utiliza ciertas funcionalidades de GeoTools para evaluar expresiones XPath suministradas por la entrada del usuario.� Se ha resuelto en las versiones 29.6, 30.4 y 31.2.

En vista del abuso activo de CVE-2024-36401, las agencias federales deben aplicar las correcciones proporcionadas por los proveedores antes del 5 de agosto de 2024.

El desarrollo se produce cuando han surgido informes sobre la explotaci�n activa de una vulnerabilidad de ejecuci�n remota de c�digo en el conjunto de herramientas de conversi�n de documentos Ghostscript (CVE-2024-29510) que podr�a aprovecharse para escapar de la caja de arena -dSAFER y ejecutar c�digo arbitrario.

La vulnerabilidad, abordada en la versi�n 10.03.1 tras la revelaci�n responsable por parte de Codean Labs el 14 de marzo de 2024, ha sido desde entonces utilizada como arma para obtener acceso shell a sistemas vulnerables, seg�n el desarrollador de ReadMe Bill Mill.

Fuente: thehackernews