GeoServer

Die Schwachstelle betrifft GeoServer, einen quelloffenen Server zum Teilen und Bearbeiten von Geodaten. Sie liegt in der Verarbeitung von XML-Eingaben am Endpunkt /geoserver/wms bei der Operation GetMap. Dort nimmt die Anwendung XML-Daten entgegen, prüft und beschränkt sie aber nicht ausreichend. Dadurch kann ein Angreifer im XML-Dokument sogenannte externe Entitäten definieren – Verweise, über die der XML-Parser beim Verarbeiten zusätzliche, vom Angreifer bestimmte Inhalte nachlädt. Diese Schwachstellenklasse wird als XML External Entity (XXE) bezeichnet. Auf diese Weise lassen sich typischerweise lokale Dateien des Servers auslesen oder Anfragen an interne Systeme auslösen, die von außen eigentlich nicht erreichbar sind. Betroffen sind Installationen, deren WMS-Schnittstelle erreichbar ist – ein häufiger Fall, da GeoServer gerade für die Bereitstellung von Kartendiensten im Netz eingesetzt wird.