Vulnerabilidad en GeoServer (CVE-2024-34711)

GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. Existe una vulnerabilidad de validación de URI incorrecta que permite a un atacante no autorizado realizar un ataque de Entidades Externas XML (XEE) y enviar una solicitud GET a cualquier servidor HTTP. De forma predeterminada, GeoServer utiliza la clase PreventLocalEntityResolver de GeoTools para filtrar URI maliciosos en entidades XML antes de resolverlos. El URI debe coincidir con la expresión regular (?i)(jar:file|http|vfs)[^?#;]*\\.xsd. Sin embargo, la expresión regular permite a los atacantes realizar solicitudes a cualquier servidor HTTP o archivo limitado. Un atacante puede aprovechar esto para escanear redes internas, obtener información sobre ellas y luego explotarla. GeoServer 2.25.0 y versiones posteriores utilizan ENTITY_RESOLUTION_ALLOWLIST de forma predeterminada y no requieren que se proporcione una propiedad del sistema.