Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en GeoTools (CVE-2024-36404)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/07/2024
Última modificación:
02/07/2024

Descripción

GeoTools es una librería Java de código abierto que proporciona herramientas para datos geoespaciales. Antes de las versiones 31.2, 30.4 y 29.6, la ejecución remota de código (RCE) es posible si una aplicación utiliza cierta funcionalidad de GeoTools para evaluar las expresiones XPath proporcionadas por la entrada del usuario. Las versiones 31.2, 30.4 y 29.6 contienen una solución para este problema. Como workaround, GeoTools puede operar con funcionalidad reducida eliminando el archivo jar `gt-complex` de la aplicación. Como ejemplo del impacto, el esquema de aplicación "almacén de datos" no funcionaría sin la capacidad de utilizar expresiones XPath para consultar contenido complejo. Alternativamente, se puede utilizar un jar GeoTools de reemplazo directo de SourceForge para las versiones 31.1, 30.3, 30.2, 29.2, 28.2, 27.5, 27.4, 26.7, 26.4, 25.2 y 24.0. Estos archivos jar se pueden descargar únicamente y no están disponibles en maven central, con el objetivo de proporcionar rápidamente una solución a las aplicaciones afectadas.

Referencias a soluciones, herramientas e información