CVE-2024-34696
GeoServer's Server Status shows sensitive environmental variables and Java properties
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
0Exploited in Wild
-Decision
Descriptions
GeoServer is an open source server that allows users to share and edit geospatial data. Starting in version 2.10.0 and prior to versions 2.24.4 and 2.25.1, GeoServer's Server Status page and REST API lists all environment variables and Java properties to any GeoServer user with administrative rights as part of those modules' status message. These variables/properties can also contain sensitive information, such as database passwords or API keys/tokens. Additionally, many community-developed GeoServer container images `export` other credentials from their start-up scripts as environment variables to the GeoServer (`java`) process. The precise scope of the issue depends on which container image is used and how it is configured.
The `about status` API endpoint which powers the Server Status page is only available to administrators.Depending on the operating environment, administrators might have legitimate access to credentials in other ways, but this issue defeats more sophisticated controls (like break-glass access to secrets or role accounts).By default, GeoServer only allows same-origin authenticated API access. This limits the scope for a third-party attacker to use an administrator’s credentials to gain access to credentials. The researchers who found the vulnerability were unable to determine any other conditions under which the GeoServer REST API may be available more broadly.
Users should update container images to use GeoServer 2.24.4 or 2.25.1 to get the bug fix. As a workaround, leave environment variables and Java system properties hidden by default. Those who provide the option to re-enable it should communicate the impact and risks so that users can make an informed choice.
GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. A partir de la versión 2.10.0 y antes de las versiones 2.24.4 y 2.25.1, la página Estado del servidor de GeoServer y la API REST enumeran todas las variables de entorno y propiedades de Java para cualquier usuario de GeoServer con derechos administrativos como parte del mensaje de estado de esos módulos. Estas variables/propiedades también pueden contener información confidencial, como contraseñas de bases de datos o keys/tokens API. Además, muchas imágenes de contenedores de GeoServer desarrolladas por la comunidad "exportan" otras credenciales desde sus scripts de inicio como variables de entorno al proceso de GeoServer ("java"). El alcance preciso del problema depende de qué imagen de contenedor se utiliza y cómo está configurada. El endpoint API "acerca del estado" que impulsa la página Estado del servidor solo está disponible para los administradores. Dependiendo del entorno operativo, los administradores pueden tener acceso legítimo a las credenciales de otras maneras, pero este problema anula controles más sofisticados (como el acceso sin barreras a secretos o cuentas de rol). De forma predeterminada, GeoServer solo permite el acceso API autenticado del mismo origen. Esto limita las posibilidades de que un atacante externo utilice las credenciales de un administrador para obtener acceso a las credenciales. Los investigadores que encontraron la vulnerabilidad no pudieron determinar otras condiciones bajo las cuales la API REST de GeoServer pueda estar disponible de manera más amplia. Los usuarios deben actualizar las imágenes del contenedor para usar GeoServer 2.24.4 o 2.25.1 para corregir el error. Como workaround, deje las variables de entorno y las propiedades del sistema Java ocultas de forma predeterminada. Quienes brinden la opción de volver a habilitarlo deben comunicar el impacto y los riesgos para que los usuarios puedan tomar una decisión informada.
CVSS Scores
SSVC
- Decision:Track
Timeline
- 2024-05-07 CVE Reserved
- 2024-07-01 CVE Published
- 2024-07-04 EPSS Updated
- 2024-08-02 CVE Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
- ---------- First Exploit
CWE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor
CAPEC
References (1)
URL | Tag | Source |
---|
URL | Date | SRC |
---|
URL | Date | SRC |
---|
URL | Date | SRC |
---|---|---|
https://github.com/geoserver/geoserver/security/advisories/GHSA-j59v-vgcr-hxvf | 2024-07-03 |
Affected Vendors, Products, and Versions
Vendor | Product | Version | Other | Status | ||||||
---|---|---|---|---|---|---|---|---|---|---|
Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
Geoserver Search vendor "Geoserver" | Geoserver Search vendor "Geoserver" for product "Geoserver" | >= 2.10.0 < 2.24.4 Search vendor "Geoserver" for product "Geoserver" and version " >= 2.10.0 < 2.24.4" | - |
Affected
| ||||||
Geoserver Search vendor "Geoserver" | Geoserver Search vendor "Geoserver" for product "Geoserver" | >= 2.25.0 < 2.25.1 Search vendor "Geoserver" for product "Geoserver" and version " >= 2.25.0 < 2.25.1" | - |
Affected
|