CVE-2024-34696

GeoServer's Server Status shows sensitive environmental variables and Java properties

Severity Score

4.9

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

Track

*SSVC

Descriptions

GeoServer is an open source server that allows users to share and edit geospatial data. Starting in version 2.10.0 and prior to versions 2.24.4 and 2.25.1, GeoServer's Server Status page and REST API lists all environment variables and Java properties to any GeoServer user with administrative rights as part of those modules' status message. These variables/properties can also contain sensitive information, such as database passwords or API keys/tokens. Additionally, many community-developed GeoServer container images `export` other credentials from their start-up scripts as environment variables to the GeoServer (`java`) process. The precise scope of the issue depends on which container image is used and how it is configured.

The `about status` API endpoint which powers the Server Status page is only available to administrators.Depending on the operating environment, administrators might have legitimate access to credentials in other ways, but this issue defeats more sophisticated controls (like break-glass access to secrets or role accounts).By default, GeoServer only allows same-origin authenticated API access. This limits the scope for a third-party attacker to use an administrator’s credentials to gain access to credentials. The researchers who found the vulnerability were unable to determine any other conditions under which the GeoServer REST API may be available more broadly.

Users should update container images to use GeoServer 2.24.4 or 2.25.1 to get the bug fix. As a workaround, leave environment variables and Java system properties hidden by default. Those who provide the option to re-enable it should communicate the impact and risks so that users can make an informed choice.

GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. A partir de la versión 2.10.0 y antes de las versiones 2.24.4 y 2.25.1, la página Estado del servidor de GeoServer y la API REST enumeran todas las variables de entorno y propiedades de Java para cualquier usuario de GeoServer con derechos administrativos como parte del mensaje de estado de esos módulos. Estas variables/propiedades también pueden contener información confidencial, como contraseñas de bases de datos o keys/tokens API. Además, muchas imágenes de contenedores de GeoServer desarrolladas por la comunidad "exportan" otras credenciales desde sus scripts de inicio como variables de entorno al proceso de GeoServer ("java"). El alcance preciso del problema depende de qué imagen de contenedor se utiliza y cómo está configurada. El endpoint API "acerca del estado" que impulsa la página Estado del servidor solo está disponible para los administradores. Dependiendo del entorno operativo, los administradores pueden tener acceso legítimo a las credenciales de otras maneras, pero este problema anula controles más sofisticados (como el acceso sin barreras a secretos o cuentas de rol). De forma predeterminada, GeoServer solo permite el acceso API autenticado del mismo origen. Esto limita las posibilidades de que un atacante externo utilice las credenciales de un administrador para obtener acceso a las credenciales. Los investigadores que encontraron la vulnerabilidad no pudieron determinar otras condiciones bajo las cuales la API REST de GeoServer pueda estar disponible de manera más amplia. Los usuarios deben actualizar las imágenes del contenedor para usar GeoServer 2.24.4 o 2.25.1 para corregir el error. Como workaround, deje las variables de entorno y las propiedades del sistema Java ocultas de forma predeterminada. Quienes brinden la opción de volver a habilitarlo deben comunicar el impacto y los riesgos para que los usuarios puedan tomar una decisión informada.

*Credits: N/A

Attack Vector

Network

Attack Complexity

Low

Privileges Required

High

User Interaction

None

Scope

Unchanged

Confidentiality

High

Integrity

None

Availability

None

Attack Vector

Network

Attack Complexity

Low

Privileges Required

High

User Interaction

Required

Scope

Unchanged

Confidentiality

High

Integrity

None

Availability

None

* Common Vulnerability Scoring System

SSVC

Decision:Track

Exploitation

None

Automatable

Tech. Impact

Partial

* Organization's Worst-case Scenario

Timeline

2024-05-07 CVE Reserved
2024-07-01 CVE Published
2024-07-04 EPSS Updated
2024-08-02 CVE Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-200: Exposure of Sensitive Information to an Unauthorized Actor

CAPEC

References (1)

URL	Tag	Source

URL	Date	SRC

URL	Date	SRC

URL	Date	SRC
https://github.com/geoserver/geoserver/security/advisories/GHSA-j59v-vgcr-hxvf	2024-07-03

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Geoserver Search vendor "Geoserver"		Geoserver Search vendor "Geoserver" for product "Geoserver"				>= 2.10.0 < 2.24.4 Search vendor "Geoserver" for product "Geoserver" and version " >= 2.10.0 < 2.24.4"		-		Affected
Geoserver Search vendor "Geoserver"		Geoserver Search vendor "Geoserver" for product "Geoserver"				>= 2.25.0 < 2.25.1 Search vendor "Geoserver" for product "Geoserver" and version " >= 2.25.0 < 2.25.1"		-		Affected