257/67 (IT) ประจำวันพฤหัสบดีที่ 18 กรกฎาคม 2567
หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ eval injection ที่ส่งผลกระทบต่อ OSGeo GeoServer GeoTools ที่หมายเลข CVE-2024-36401 (คะแนน CVSS เท่ากับ 9.8) ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV)
GeoServer เป็นเซิร์ฟเวอร์โอเพ่นซอร์สที่อนุญาตให้ผู้ใช้แบ่งปันและแก้ไขข้อมูลทางภูมิศาสตร์ได้ อย่างไรก็ตาม GeoServer เวอร์ชันก่อน 2.23.6, 2.24.4 และ 2.25.2 มีช่องโหว่ที่เสี่ยงต่อการถูกโจมตีแบบ Remote Code Execution (RCE) ปัญหานี้เกิดขึ้นเนื่องจากไลบรารี API ของ GeoTools ซึ่ง GeoServer เรียกใช้ evaluates property/attribute names สำหรับประเภทฟีเจอร์ในลักษณะที่ส่งไปยังไลบรารี commons-jxpath อย่างไม่ปลอดภัย ทำให้สามารถรันโค้ดที่เป็นอันตรายได้ ช่องโหว่นี้ส่งผลกระทบต่อทุกอินสแตนซ์ของ GeoServer เนื่องจากมีการประเมิน XPath กับประเภทฟีเจอร์อย่างไม่ถูกต้อง ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ผ่านคำขอต่าง ๆ เช่น WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic และ WPS Execute อย่างไรก็ตาม ช่องโหว่นี้ได้รับการแก้ไขแล้วในเวอร์ชันล่าสุด
เพื่อลดความเสี่ยงของช่องโหว่ หน่วยงานภายใต้การกำกับดูแล Federal Civilian Executive Branch (FCEB) จะต้องทำการแก้ไขช่องโหว่ที่ระบุภายในวันที่ครบกำหนด เพื่อปกป้องเครือข่ายของตนจากการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ ผู้เชี่ยวชาญแนะนำให้หน่วยงานเอกชนตรวจสอบแคตตาล็อกดังกล่าว เพื่อแก้ไขช่องโหว่ด้วยเช่นกัน โดยทาง CISA ได้กำหนดให้หน่วยงานรัฐบาลต้องแก้ไขช่องโหว่นี้ภายในวันที่ 5 สิงหาคม 2024
