Vulnerabilidad en GeoTools (CVE-2024-36404)

GeoTools es una librería Java de código abierto que proporciona herramientas para datos geoespaciales. Antes de las versiones 31.2, 30.4 y 29.6, la ejecución remota de código (RCE) es posible si una aplicación utiliza cierta funcionalidad de GeoTools para evaluar las expresiones XPath proporcionadas por la entrada del usuario. Las versiones 31.2, 30.4 y 29.6 contienen una solución para este problema. Como workaround, GeoTools puede operar con funcionalidad reducida eliminando el archivo jar `gt-complex` de la aplicación. Como ejemplo del impacto, el esquema de aplicación "almacén de datos" no funcionaría sin la capacidad de utilizar expresiones XPath para consultar contenido complejo. Alternativamente, se puede utilizar un jar GeoTools de reemplazo directo de SourceForge para las versiones 31.1, 30.3, 30.2, 29.2, 28.2, 27.5, 27.4, 26.7, 26.4, 25.2 y 24.0. Estos archivos jar se pueden descargar únicamente y no están disponibles en maven central, con el objetivo de proporcionar rápidamente una solución a las aplicaciones afectadas.