Vulnerabilidad en GeoServer (CVE-2024-23634)

GeoServer es un servidor de software de código abierto escrito en Java que permite a los usuarios compartir y editar datos geoespaciales. Existe una vulnerabilidad de cambio de nombre de archivo arbitrario en versiones anteriores a 2.23.5 y 2.24.2 que permite a un administrador autenticado con permisos para modificar almacenes a través de la API de almacén de datos o almacén de cobertura REST cambiar el nombre de archivos y directorios arbitrarios con un nombre que no termina en ".zip". Las cargas de archivos del almacén cambian el nombre de los archivos zip para que tengan una extensión ".zip" si aún no la tienen antes de descomprimir el archivo. Esto está bien para los métodos de carga de archivos y URL donde los archivos estarán en un subdirectorio específico del directorio de datos pero, cuando se utiliza el método de carga externo, esto permite cambiar el nombre de archivos y directorios arbitrarios. Cambiar el nombre de los archivos de GeoServer probablemente resultará en una denegación de servicio, ya sea impidiendo por completo que GeoServer se ejecute o eliminando efectivamente recursos específicos (como un espacio de trabajo, una capa o un estilo). En algunos casos, cambiar el nombre de los archivos de GeoServer podría hacer que se vuelva a la configuración predeterminada de ese archivo, lo que podría ser relativamente inofensivo, como eliminar información de contacto, o tener consecuencias más graves, como permitir que los usuarios realicen solicitudes OGC que la configuración personalizada les habría impedido realizar. El impacto de cambiar el nombre de los archivos que no son de GeoServer depende del entorno específico, aunque es probable que se produzca algún tipo de denegación de servicio. Las versiones 2.23.5 y 2.24.2 contienen una solución para este problema.