Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
GeoServer es un servidor de software de código abierto escrito en Java que permite a los usuarios compartir y editar datos geoespaciales. GeoServer incluye soporte para el lenguaje de expresión OGC Filter y el lenguaje de consulta común (CQL) OGC como parte de los protocolos Web Feature Service (WFS) y Web Map Service (WMS). CQL también es compatible a través del protocolo Web Coverage Service (WCS) para coberturas de ImageMosaic.
CVE-2023-25157 es el identificador asignado a las vulnerabilidades de inyección SQL que se encontraron en:
- PropertyIsLike filter, cuando se utiliza con un campo String y cualquier DataStore de base de datos, o con un almacén de datos PostGIS con funciones de codificación habilitadas.
- strEndsWith, cuando se utiliza con un almacén de datos PostGIS con funciones de codificación habilitadas.
- strStartsWith, cuando se utiliza con un almacén de datos PostGIS con funciones de codificación habilitadas.
- FeatureId filter, cuando se utiliza con cualquier tabla de base de datos que tenga una columna de clave principal String y cuando las instrucciones preparadas están deshabilitadas.
- jsonArrayContains, cuando se utiliza con un campo String o JSON y con un PostGIS u Oracle DataStore (solo GeoServer 2.22.0+).
- DWithin filter, cuando se utiliza con un almacén de datos de Oracle.
Recursos afectados
- GeoServer anteriores a la versión 2.21.4
- GeoServer anteriores a la versión 2.22.2
Solución
Se debe aplicar los parches según las versiones:
- GeoSever 2.21.4
- GeoServer 2.22.2
- GeoServer 2.20.7
- GeoServer 2.19.7
- GeoServer 2.18.7
Recomendaciones
Los usuarios que no puedan actualizar deben deshabilitar la configuración *encode functions* del almacén de datos PostGIS para mitigar el uso indebido de "strEndsWith", "strStartsWith" y "PropertyIsLike " y habilitar la configuración *preparedStatements* de PostGIS DataStore para mitigar el uso indebido de "FeatureId".
Referencias
Vulnerabilidades de inyección SQL del filtro OGC de GeoServer