【漏洞通告】GeoServer property表达式注入代码执行漏洞安全风险通告

admin 2024年7月3日23:13:00评论5 views字数 747阅读2分29秒阅读模式

漏洞背景

近日,嘉诚安全监测到GeoServer property中存在一个表达式注入代码执行漏洞,漏洞编号为:CVE-2024-36401。

GeoServer是一个开源服务器,用于共享、处理和编辑地理空间数据,支持多种地图和数据标准,使用户能够通过网络访问和操作地理信息系统(GIS)数据。

鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。

漏洞详情

经研判,该漏洞为高危漏洞未经身份验证的用户可以通过向默认的GeoServer安装发送特制的输入,利用多个OGC请求参数,如WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic和WPS Execute请求,从而执行任意代码。这种远程代码执行将导致系统被完全控制,严重威胁系统安全,可能造成数据泄露、勒索或更广泛的网络攻击。

危害影响

影响版本:

2.25.0 <= GeoServer < 2.25.2

2.24.0 <= GeoServer < 2.24.4

GeoServer < 2.23.6

处置建议

建议您更新当前系统或软件至最新版本,完成漏洞的修复。

安全版本:

GeoServer 2.25.2

GeoServer 2.24.4

GeoServer 2.23.6

下载链接:

https://geoserver.org/

参考链接:

https://osgeo-org.atlassian.net/browse/GEOT-7587

https://github.com/advisories/GHSA-6jj6-gm7p-fcvv

【漏洞通告】GeoServer property表达式注入代码执行漏洞安全风险通告【漏洞通告】GeoServer property表达式注入代码执行漏洞安全风险通告

原文始发于微信公众号(嘉诚安全):【漏洞通告】GeoServer property表达式注入代码执行漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月3日23:13:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】GeoServer property表达式注入代码执行漏洞安全风险通告http://cn-sec.com/archives/2914786.html

发表评论

匿名网友 填写信息