Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

nvd,anchore_overrides

Geotools

Уязвимости

5

Эксплуатируемые

1

Критический

4

Высокий

1

Топ продуктов

Топ уязвимостей

CVE-2024-36404GeoTools - это библиотека Java с открытым исходным кодом, которая предоставляет инструменты для геопространственных данных. До версий 31.2, 30.4 и 29.6 возможно удаленное выполнение кода (RCE), если приложение использует определенные функции GeoTools для оценки выражений XPath, предоставленных пользовательским вводом. Версии 31.2, 30.4 и 29.6 содержат исправление для этой проблемы. В качестве обходного решения GeoTools может работать с ограниченной функциональностью, удалив jar-файл `gt-complex` из приложения. В качестве примера воздействия: схема данных `datastore` не будет функционировать без возможности использования выражений XPath для запроса сложного контента. В качестве альтернативы можно использовать заменяющий GeoTools jar-файл из SourceForge для версий 31.1, 30.3, 30.2, 29.2, 28.2, 27.5, 27.4, 26.7, 26.4, 25.2 и 24.0. Эти jar-файлы предназначены только для загрузки и недоступны из maven central, чтобы быстро предоставить исправление для затронутых приложений.

CVE-2024-36401GeoServer — это открытый сервер, который позволяет пользователям делиться и редактировать геопространственные данные. До версий 2.22.6, 2.23.6, 2.24.4 и 2.25.2 несколько параметров запросов OGC позволяют выполнять удалённый код (RCE) неаутентифицированными пользователями через специально подготовленный ввод против стандартной установки GeoServer из-за небезопасной оценки имен свойств в качестве выражений XPath. API библиотеки GeoTools, который вызывает GeoServer, оценивает имена свойств/атрибутов для типов объектов таким образом, что небезопасно передает их в библиотеку commons-jxpath, которая может выполнять произвольный код при оценке выражений XPath. Эта оценка XPath предназначена для использования только сложными типами объектов (т.е. хранилищами данных схемы приложений), но неправильно применяется и к простым типам объектов, что делает эту уязвимость применимой ко **ВСЕМ** экземплярам GeoServer. Публичный PoC не предоставлен, но эта уязвимость подтверждена как подлежащая эксплуатации через запросы WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic и WPS Execute. Эта уязвимость может привести к выполнению произвольного кода. Версии 2.22.6, 2.23.6, 2.24.4 и 2.25.2 содержат исправление этой проблемы. Обходной путь состоит в удалении файла `gt-complex-x.y.jar` из GeoServer, где `x.y` — это версия GeoTools (например, `gt-complex-31.1.jar`, если используется GeoServer 2.25.1). Это удалит уязвимый код из GeoServer, но может нарушить некоторую функциональность GeoServer или помешать его развёртыванию, если модуль gt-complex необходим.

CVE-2023-25158GeoTools - это библиотека Java с открытым исходным кодом, которая предоставляет инструменты для геопространственных данных. GeoTools включает поддержку синтаксического анализа языка выражений OGC Filter, кодирования и выполнения для ряда хранилищ данных. Обнаружены уязвимости SQL-инъекций при выполнении фильтров OGC с реализациями JDBCDataStore. Пользователям рекомендуется обновиться до версии 27.4 или 28.2, чтобы устранить эту проблему. Пользователи, не имеющие возможности обновиться, могут отключить `encode functions` для PostGIS DataStores или включить `prepared statements` для JDBCDataStores в качестве частичного решения.

CVE-2025-30220GeoServer - это открытый сервер, позволяющий пользователям обмениваться и редактировать геопространственные данные. Класс GeoTools Schema использует библиотеку Eclipse XSD для представления структуры схемы данных, уязвимой для эксплуатации XML External Entity (XXE). Это влияет на тех, кто предоставляет обработку XML с участием gt-xsd-core в процессе парсинга, когда документы содержат ссылку на внешнюю схему XML. Класс Schemas gt-xsd-core не использует EntityResolver, предоставленный ParserHandler (если он был настроен). Это также влияет на пользователей gt-wfs-ng DataStore, где параметр подключения ENTITY_RESOLVER не использовался по назначению. Эта уязвимость исправлена в GeoTools 33.1, 32.3, 31.7 и 28.6.1, GeoServer 2.27.1, 2.26.3 и 2.25.7, а также GeoNetwork 4.4.8 и 4.2.13 [1]. Уязвимость позволяет неаутентифицированным злоумышленникам читать произвольные файлы из файловой системы сервера, доступные процессу GeoServer, что может привести к раскрытию конфиденциальной информации, включая файлы конфигурации, учетные данные и системные файлы. Также возможен SSRF [2]. Источники: - [1] https://github.com/geoserver/geoserver/security/advisories/GHSA-jj54-8f66-c5pc - [2] https://github.com/geotools/geotools/security/advisories/GHSA-826p-4gcg-35vw - [3] https://github.com/geonetwork/core-geonetwork/security/advisories/GHSA-2p76-gc46-5fvc - [4] https://github.com/geonetwork/core-geonetwork/pull/8757 - [5] https://github.com/geonetwork/core-geonetwork/pull/8803

CVE-2022-24818GeoTools - это библиотека Java с открытым исходным кодом, которая предоставляет инструменты для геопространственных данных. Библиотека GeoTools имеет ряд источников данных, которые могут выполнять непроверенные JNDI-поиски, которые, в свою очередь, могут использоваться для выполнения десериализации классов и приводить к произвольному выполнению кода. Подобно случаю с Log4J, уязвимость может быть вызвана, если имена JNDI предоставлены пользователем, но для ее запуска требуется вход в систему на уровне администратора. Поиски теперь ограничены в GeoTools 26.4, GeoTools 25.6 и GeoTools 24.6. Пользователи, которые не могут выполнить обновление, должны убедиться, что любое нисходящее приложение не должно допускать использование удаленно предоставленных строк JNDI.

Открыть в каталоге с фильтром по вендору →