GeoServer 远程代码执行漏洞(CVE-2024-36401)预警
1、基本情况
GeoServer 是一个用 Java 编写的开源软件服务器,允许用户共享和编辑地理空间数据。它为提供交互操作性而设计,使用开放标准发布来自任何主要空间数据源的数据。
近日,检测发现 GeoServer 中存在一个远程代码执行漏洞(CVE-2024-36401)。
GeoServer 多个受影响版本在默认安装中存在漏洞,由于不安全地将属性名称评估为 XPath 表达式,未经身份验证的威胁者可通过发送恶意请求,利用多个 OGC 请求参数(如 WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic 和 WPS Execute 请求)导致远程代码执行。
目前该漏洞技术细节已在互联网上公开,鉴于此漏洞影响范围较大,建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
GeoServer < 2.23.6
2.24.0 <= GeoServer < 2.24.4
2.25.0 <= GeoServer < 2.25.2
3、处置建议
目前官方已提供漏洞修补方案,请尽快前往下载更新至 2.23.6、2.24.4 或 2.25.2 版本
官方下载地址:
https://github.com/geoserver/geoserver/releases
缓解方案:
删除 GeoServer 中 gt-complex-x.y.jar 文件(x.y 为 GeoTools版本,例如 GeoServer 2.25.1 中是 gt-complex-31.1.jar),这将从 GeoServer 中删除漏洞代码,但可能会破坏某些 GeoServer 功能。
临时修复方案:
使用防护类设备对相关资产进行防护,拦截请求中的恶意命令执行语句。
如非必要,避免将资产暴露在互联网。
4、参考链接
1) https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv
2) https://nvd.nist.gov/vuln/detail/CVE-2024-36401