GeoServer

Die Schwachstelle steckt in der GeoTools-Bibliothek, die der quelloffene Geodaten-Server GeoServer von OSGeo zum Verarbeiten von Anfragen nutzt. Beim Auswerten von Eigenschafts- bzw. Attributnamen behandelt die Software diese Namen unsicher als XPath-Ausdrücke und reicht sie an eine zugrunde liegende Bibliothek weiter, die beim Auswerten solcher Ausdrücke beliebigen Code ausführen kann. Eigentlich war diese Auswertung nur für komplexe Datenstrukturen gedacht, wird aber fälschlicherweise auch auf einfache angewendet – wodurch praktisch jede GeoServer-Standardinstallation betroffen ist. Ein Angreifer kann die Lücke aus der Ferne und ohne Anmeldung ausnutzen, indem er manipulierte Werte in gängige Kartendienst- und Geodaten-Anfragen einschleust. Im Ergebnis lässt sich beliebiger Code auf dem Server ausführen, was einem Angreifer weitreichende Kontrolle über das System verschafft.