漏洞名称:
Geoserver远程代码执行漏洞(CVE-2024-36401)
组件名称:
开源地理空间-GeoServer
影响范围:
GeoServer<2.23.6
2.24.0≤GeoServer<2.24.4
2.25.0≤GeoServer<2.25.2
漏洞类型:
代码注入
利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:容易,无需授权可造成远程代码执行。
<综合评定威胁等级>:严重,能造成远程代码执行。
官方解决方案:
已发布
漏洞分析
组件介绍
GeoServer是一个用Java编写的开源服务器,它允许用户共享、处理和编辑地理空间数据。为了互操作性而设计,它使用开源标准发布来自任何主要空间数据源的数据。
漏洞简介
2024年7月3日,深瞳漏洞实验室监测到一则开源地理空间-GeoServer组件存在代码注入漏洞的信息,漏洞编号:CVE-2024-36401,漏洞威胁等级:严重。
GeoServer 存在安全漏洞,该漏洞源于不安全地将属性名称解析为 XPath 表达式,可能导致远程代码执行。
影响范围
目前受影响的开源地理空间-GeoServer版本:
GeoServer<2.23.6
2.24.0≤GeoServer<2.24.4
2.25.0≤GeoServer<2.25.2
解决方案
如何检测组件系统版本
Web主页可查看当前版本信息。
官方修复建议
GeoServer已经发布最新版本修复该漏洞,受影响客户可将GeoServer更新到最新版本。或从下载的补丁中获取gt-app-schema、gt-complex和 gt-xsd-core jar文件,替换掉WEB-INF/lib里面对应的文件即可。
下载链接:https://geoserver.org/
临时缓解措施:
从 GeoServer 中删除"gt-complex-xxx.jar"文件,其中xxx为当前GeoServer版本号。请注意,删除该文件可能导致GeoServer部分功能失效
参考链接
https://cxsecurity.com/cveshow/CVE-2024-36401/
https://github.com/geotools/geotools/pull/4797
https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv
时间轴
2024/7/3
深瞳漏洞实验室监测到Geoserver远程代码执行漏洞信息。
2024/7/3
深瞳漏洞实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。