ГлавнаяБаза уязвимостей БДУ → BDU:2025-03363
10критическая

BDU:2025-03363 (CVE-2024-36404)

Уязвимость библиотеки GeoTools программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-03-27
Описание

Уязвимость библиотеки GeoTools программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём отправки специально сформированных XPath-выражений

Затрагиваемое ПО и версии
GeoTools (от 30.0 до 30.4)GeoTools (от 31.0 до 31.2)GeoTools (от 29.0 до 29.6)GeoTools (до 28.6)GeoServer (от 2.22.0 до 2.22.5)
Способ устранения

Использование рекомендаций производителя:
https://sourceforge.net/projects/geotools/files/GeoTools%2024%20Releases/24.0/geotools-24.0-patches.zip/download
https://sourceforge.net/projects/geotools/files/GeoTools%2025%20Releases/25.2/geotools-25.2-patches.zip/download
https://sourceforge.net/projects/geotools/files/GeoTools%2026%20Releases/26.4
https://sourceforge.net/projects/geotools/files/GeoTools%2026%20Releases/26.7/geotools-26.7-patches.zip/download
https://sourceforge.net/projects/geotools/files/GeoTools%2027%20Releases/27.4/geotools-27.4-patches.zip/download
https://sourceforge.net/projects/geotools/files/GeoTools%2027%20Releases/27.5/geotools-27.5-patches.zip/download
https://sourceforge.net/projects/geotools/files/GeoTools%2028%20Releases/28.2/geotools-28.2-patches.zip/download
https://sourceforge.net/projects/geotools/files/GeoTools%2029%20Releases/29.2/geotools-29.2-patches.zip/download
https://sourceforge.net/projects/geotools/files/GeoTools%2030%20Releases/30.2/geotools-30.2-patches.zip/download
https://sourceforge.net/projects/geotools/files/GeoTools%2030%20Releases/30.3/geotools-30.3-patches.zip/download
https://sourceforge.net/projects/geotools/files/GeoTools%2031%20Releases/31.1

Компенсирующие меры:
В случае невозможности установки обновлений с целью ограничения использования выражений XPath, рекомендуется удалить файл gt-complex.jar из директории WEB-INF/lib. Обратите внимание, что удаление jar-файла `gt-complex` может повлиять на определенные функции GeoServer, особенно если вы используете такие расширения, как Application Schema, Catalog Services for the Web, MongoDB Data Store или модули сообщества, такие как Features-Templating, OGC API Modules, Smart Data Loader и SOLR Data Store.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/geotools/geotools/security/advisories/GHSA-w3pj-wh35-fq8whttps://sourceforge.net/projects/geotools/files/GeoTools%2024%20Releases/24.0/geotools-24.0-patches.zip/downloadhttps://sourceforge.net/projects/geotools/files/GeoTools%2025%20Releases/25.2/geotools-25.2-patches.zip/downloadhttps://sourceforge.net/projects/geotools/files/GeoTools%2026%20Releases/26.4https://sourceforge.net/projects/geotools/files/GeoTools%2026%20Releases/26.7/geotools-26.7-patches.zip/downloadhttps://sourceforge.net/projects/geotools/files/GeoTools%2027%20Releases/27.4/geotools-27.4-patches.zip/downloadhttps://sourceforge.net/projects/geotools/files/GeoTools%2027%20Releases/27.5/geotools-27.5-patches.zip/downloadhttps://sourceforge.net/projects/geotools/files/GeoTools%2028%20Releases/28.2/geotools-28.2-patches.zip/download
Проверьте безопасность своего сайта и почты → Полная проверка домена