Kritisk sårbarhet i GeoServer

En kritisk sårbarhet har upptäckts i den öppna källkodsservern GeoServer. Om den utnyttjas kan en angripare fjärrköra godtycklig kod i sårbara system, utan krav på autentisering. [1]

Sårbarheten (CVE-2024-36401) har fått CVSS-klassning 9,8 på den tiogradiga skalan.

En uppdatering som rättar sårbarheterna finns tillgänglig. [1]

Uppdatering 2024-07-04

En proof-of-concept (PoC) finns publicerad, vilket ökar risken för utnyttjande av sårbarheten.

Påverkade produkter

Alla versioner av GeoServer upp till:
 - 2.24.4
 - 2.25.2
 - 2.23.6

Rekommendationer

CERT-SE rekommenderar att installera säkerhetsuppdateringarna så snart som möjligt. Går det inte att säkerhetsuppdatera skyndsamt finns mitigerande åtgärder tillgängliga. [1]

Källor

[1] https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv