Проект GeoServer выпустил обновления безопасности для продуктов GeoServer, GeoTools и GeoWebCache. В версиях, предшествующих 3.0.0 (GeoServer), 35.0 (GeoTools) и 2.0.0 (GeoWebCache), обнаружены четыре уязвимости, четыре из которых получили отдельные идентификаторы CVE.
Суть обнаруженных уязвимостей
Первая уязвимость, CVE-2025-27511, связана с использованием протокола JNDI (Java Naming and Directory Interface - интерфейс службы каталогов Java) в соединении с базой данных DB2. JNDI-атаки позволяют злоумышленнику, контролирующему параметры подключения, заставить сервер выполнять обращения к внешним ресурсам. В контексте GeoServer это может привести к выполнению произвольного кода, если атакующий способен манипулировать конфигурацией хранилища DB2. Уязвимость исправлена в версиях 2.26.3, 2.27.0 и 3.0.0.
Вторая уязвимость, CVE-2025-58175, представляет собой SSRF-уязвимость (Server-Side Request Forgery - подделка запроса на стороне сервера) в механизме разрешения XML-сущностей. Ошибка позволяет неаутентифицированному атакующему инициировать запросы от имени сервера GeoServer к произвольным сетевым ресурсам, если в системе используется список разрешённых адресов (ENTITY_RESOLUTION_ALLOWLIST). Потенциально это даёт возможность сканировать внутреннюю сеть, обращаться к другим службам и получать данные, недоступные напрямую. Исправление включено в версии 3.0.0.
Третья уязвимость, CVE-2025-52465, позволяет аутентифицированному администратору, имеющему доступ к системе безопасности GeoServer, записывать произвольные файлы на сервере через страницу сброса мастер‑пароля (Master Password Dump Page). Имя файла должно быть абсолютным путём, родительские каталоги должны существовать, а сам целевой файл не должен существовать на момент операции. В результате атакующий может создать файл, содержащий мастер-пароль в открытом виде, в любой доступной для записи директории. Это существенно повышает риски компрометации всей системы. Исправление вышло в версии 3.0.0.
Четвёртая уязвимость, CVE-2024-45747, затрагивает обработку шаблонов FreeMarker. Она допускает SSTI-внедрение (Server-Side Template Injection - внедрение шаблона на стороне сервера) при загрузке вредоносных шаблонов аутентифицированным администратором. С помощью SSTI злоумышленник может выполнять системные команды, читать и записывать произвольные файлы на сервере. Шаблоны FreeMarker в стандартной установке GeoServer используются для форматирования ответов WMS GetFeatureInfo (HTML и JSON) и WMS GetMap (KML и GeoRSS). Патч доступен в версии 3.0.0; в ветку 2.26.x он не был перенесён, так как изменения затрагивают совместимость.
Анализ и контекст
Все перечисленные уязвимости затрагивают продукты, широко применяемые в государственных и коммерческих географических информационных системах (ГИС). Особую опасность представляют неаутентифицированные атаки SSRF: они могут быть использованы для разведки внутренних сетей, доступа к другим службам или как начальный этап цепочки атак. JNDI-уязвимости в DB2 требуют более привилегированного доступа, но их последствия могут быть критическими - выполнение произвольного кода на уровне приложения. Уязвимости, связанные с административным доступом (запись файла и SSTI), хотя и требуют аутентификации, опасны прежде всего в сценариях, где злоумышленник уже получил учётные данные администратора. Например, после успешной атаки через SSRF или фишинг он может закрепиться в системе и развить атаку на серверную инфраструктуру.
Рекомендации и статус исправлений
Разработчики GeoServer опубликовали официальное уведомление с рекомендацией обновить все затронутые компоненты до версий 3.0.0 (GeoServer), 35.0 (GeoTools) и 2.0.0 (GeoWebCache) или выше. Центр кибербезопасности Канады также призывает администраторов проверить ссылки на бюллетени и применить необходимые обновления. Организациям, использующим продукт в производственной среде, следует установить патчи в кратчайшие сроки. В случае, если обновление невозможно, необходимо в первую очередь ограничить сетевой доступ к интерфейсу управления GeoServer (веб-панели) и контролировать whitelist разрешённых адресов для разрешения XML-сущностей.
Промедление с установкой исправлений создаёт риск эксплуатации уязвимостей для удалённого выполнения кода, несанкционированного доступа к конфиденциальным данным и компрометации серверов геоданных. Для организаций, управляющих крупными ГИС-инфраструктурами, последствия могут включать утечку пространственных данных, нарушение работы картографических сервисов и финансовые потери.
Ссылки
