【漏洞预警】GeoServer存在远程代码执行漏洞(CVE-2024-36401)风险提示
发布人: 郭玉娇 发布时间: 2024-07-10 作者: 访问次数: 11

【漏洞信息】

GeoServer 是一个开源的服务器端软件,用于共享和编辑地理空间数据。它允许用户将地理数据(如矢量数据、栅格数据)发布为标准的 Web 服务

GeoServer存在远程代码执行漏洞(CVE-2024-36401

漏洞标题

GeoServer存在远程代码执行漏洞(CVE-2024-36401

漏洞类型

远程代码执行

影响目标

影响版本

GeoServer < 2.23.6

2.24.0 <= GeoServer < 2.24.4

2.25.0 <= GeoServer < 2.25.2

安全版本

GeoServer 2.23.* >= 2.23.6

GeoServer 2.24.* >= 2.24.4

GeoServer 2.25.* >= 2.25.2

漏洞编号

CVE 编号

CVE-2024-36401

CNVD 编号

未分配

CNNVD 编号

CNNVD-202407-085

安恒 CERT 编号

DM-202405-004663

CVSS3.1 评分

9.8

危害等级   

严重

CVSS 向量

访问途径AV

网络

攻击复杂度AC

所需权限PR

无需任何权限

用户交互UI

不需要用户交互

影响范围(S

不变

机密性影响(C

完整性影响(I

可用性影响(A

威胁状态

Poc 情况

已发现

Exp 情况

已发现

在野利用

未发现

研究情况

已复现

危害描述

由于不安全地将属性名称评估为 XPath 表达式,多个 OGC 请求参数允许未经身份验证的用户通过针对默认 GeoServer 安装的特制输入执行任意代码


该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护

 

【修复方案】

官方修复方案

官方已发布新版本修复漏洞,受影响的用户建议更新至安全版本

下载链接:

https://github.com/geoserver/geoserver/releases

临时缓解方案:

删除 gt-complex-x.y.jar 文件,其中x.yGeoTools版本。这将从GeoServer中删除易受攻击的代码,但可能会破坏某些GeoServer功能,如果您正在使用的扩展需要gt-complex模块,则GeoServer无法部署。
geoserver.war 
部署的缓解措施:

1.停止应用程序服务器

2.解压geoserver.war 添加到目录

3.找到文件 WEB-INF/lib/gt-complex-x.y.jar 并删除

4.将目录压缩到新的 geoserver.war

5.重新启动应用程序服务器

GeoServer二进制文件的缓解措施:

1.停止Jetty

2.找到文件 webapps/geoserver/WEB-INF/lib/gt-complex-x.y.jar 并删除

3.重新启动 Jetty


参考资料

https://github.com/advisories/GHSA-6jj6-gm7p-fcvv

https://nvd.nist.gov/vuln/detail/CVE-2024-36401