GeoServer 是一个开源的服务器端软件,用于共享和编辑地理空间数据。它允许用户将地理数据(如矢量数据、栅格数据)发布为标准的 Web 服务。
GeoServer存在远程代码执行漏洞(CVE-2024-36401)
GeoServer存在远程代码执行漏洞(CVE-2024-36401) | |||
漏洞类型 | 远程代码执行 | ||
影响目标 | 影响版本 | GeoServer < 2.23.6 2.24.0 <= GeoServer < 2.24.4 2.25.0 <= GeoServer < 2.25.2 | |
安全版本 | GeoServer 2.23.* >= 2.23.6 GeoServer 2.24.* >= 2.24.4 GeoServer 2.25.* >= 2.25.2 | ||
漏洞编号 | CVE 编号 | CVE-2024-36401 | |
CNVD 编号 | 未分配 | ||
CNNVD 编号 | CNNVD-202407-085 | ||
安恒 CERT 编号 | DM-202405-004663 | ||
CVSS3.1 评分 | 9.8 | 危害等级 | 严重 |
CVSS 向量 | 访问途径(AV) | 网络 | |
攻击复杂度(AC) | 低 | ||
所需权限(PR) | 无需任何权限 | ||
用户交互(UI) | 不需要用户交互 | ||
影响范围(S) | 不变 | ||
机密性影响(C) | 高 | ||
完整性影响(I) | 高 | ||
可用性影响(A) | 高 | ||
威胁状态 | Poc 情况 | 已发现 | |
Exp 情况 | 已发现 | ||
在野利用 | 未发现 | ||
研究情况 | 已复现 | ||
危害描述 | 由于不安全地将属性名称评估为 XPath 表达式,多个 OGC 请求参数允许未经身份验证的用户通过针对默认 GeoServer 安装的特制输入执行任意代码 | ||
该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。
【修复方案】
官方已发布新版本修复漏洞,受影响的用户建议更新至安全版本:
https://github.com/geoserver/geoserver/releases
临时缓解方案:
删除 gt-complex-x.y.jar 文件,其中x.y是GeoTools版本。这将从GeoServer中删除易受攻击的代码,但可能会破坏某些GeoServer功能,如果您正在使用的扩展需要gt-complex模块,则GeoServer无法部署。
geoserver.war 部署的缓解措施:
1.停止应用程序服务器
2.解压geoserver.war 添加到目录
3.找到文件 WEB-INF/lib/gt-complex-x.y.jar 并删除
4.将目录压缩到新的 geoserver.war
5.重新启动应用程序服务器
GeoServer二进制文件的缓解措施:
1.停止Jetty
2.找到文件 webapps/geoserver/WEB-INF/lib/gt-complex-x.y.jar 并删除
3.重新启动 Jetty
https://github.com/advisories/GHSA-6jj6-gm7p-fcvv
https://nvd.nist.gov/vuln/detail/CVE-2024-36401
