米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁（CISA）は月曜日に、OSGeo GeoServer GeoToolsに影響を与える重大なセキュリティ欠陥を、既知の悪用されている脆弱性（KEV）カタログに追加しました。

GeoServerは、Javaで書かれたオープンソースソフトウェアサーバーで、ユーザーが地理空間データを共有および編集することを可能にします。これは、Open Geospatial Consortium（OGC）のWeb Feature Service（WFS）およびWeb Coverage Service（WCS）標準のリファレンス実装です。

CVE-2024-36401（CVSSスコア: 9.8）として追跡されているこの脆弱性は、特別に作成された入力を通じてリモートコード実行を引き起こす可能性があるケースに関するものです。

「複数のOGCリクエストパラメータが、デフォルトのGeoServerインストールに対して特別に作成された入力を通じて、認証されていないユーザーによるリモートコード実行（RCE）を可能にします。これは、プロパティ名をXPath式として安全に評価していないためです」と、今月初めにプロジェクトのメンテナーによってリリースされたアドバイザリに記載されています。

この欠陥は、バージョン2.23.6、2.24.4、および2.25.2で修正されています。セキュリティ研究者のスティーブ・イケオカがこの欠陥の報告に貢献しました。

この脆弱性がどのように悪用されているかは現時点では明らかではありません。GeoServerは、「WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic、およびWPS Executeリクエストを通じて、この問題が悪用可能であることが確認されています」と述べています。

メンテナーによって修正されたもう一つの重大な欠陥（CVE-2024-36404、CVSSスコア: 9.8）もあり、これは「アプリケーションがユーザー入力によって提供されるXPath式を評価するためにGeoToolsの特定の機能を使用する場合、RCEを引き起こす可能性がある」とされています。これはバージョン29.6、30.4、および31.2で解決されています。

CVE-2024-36401のアクティブな悪用に照らして、連邦機関は2024年8月5日までにベンダーが提供する修正を適用する必要があります。

この開発は、ドキュメント変換ツールキットGhostscriptのリモートコード実行脆弱性（CVE-2024-29510）が、-dSAFERサンドボックスをエスケープして任意のコードを実行するために武器化されているという報告が出ている中で発生しました。

2024年3月14日にCodean Labsによって責任を持って公開された後、バージョン10.03.1で修正されたこの脆弱性は、その後、脆弱なシステムにシェルアクセスを取得するために武器化されているとReadMe開発者ビル・ミルが述べています。