Geoserver远程代码执行漏洞(CVE-2024-36401)

admin 2024年7月3日22:15:52评论5 views字数 1074阅读3分34秒阅读模式

漏洞名称:

Geoserver远程代码执行漏洞(CVE-2024-36401)

组件名称:

开源地理空间-GeoServer

影响范围:

GeoServer<2.23.6

2.24.0≤GeoServer<2.24.4

2.25.0≤GeoServer<2.25.2

漏洞类型:

代码注入

利用条件:

1、用户认证:不需要用户认证

2、前置条件:默认配置

3、触发方式:远程

综合评价:

<综合评定利用难度&gt;:容易,无需授权可造成远程代码执行。

<综合评定威胁等级>:严重,能造成远程代码执行。

官方解决方案:

已发布

漏洞分析

【漏洞通告】Geoserver远程代码执行漏洞(CVE-2024-36401)

组件介绍

GeoServer是一个用Java编写的开源服务器,它允许用户共享、处理和编辑地理空间数据。为了互操作性而设计,它使用开源标准发布来自任何主要空间数据源的数据。

【漏洞通告】Geoserver远程代码执行漏洞(CVE-2024-36401)

漏洞简介

2024年7月3日,深瞳漏洞实验室监测到一则开源地理空间-GeoServer组件存在代码注入漏洞的信息,漏洞编号:CVE-2024-36401,漏洞威胁等级:严重。

GeoServer 存在安全漏洞,该漏洞源于不安全地将属性名称解析为 XPath 表达式,可能导致远程代码执行。

影响范围

目前受影响的开源地理空间-GeoServer版本:

GeoServer<2.23.6

2.24.0≤GeoServer<2.24.4

2.25.0≤GeoServer<2.25.2

解决方案

【漏洞通告】Geoserver远程代码执行漏洞(CVE-2024-36401)

如何检测组件系统版本

Web主页可查看当前版本信息。

【漏洞通告】Geoserver远程代码执行漏洞(CVE-2024-36401)
【漏洞通告】Geoserver远程代码执行漏洞(CVE-2024-36401)

官方修复建议

GeoServer已经发布最新版本修复该漏洞,受影响客户可将GeoServer更新到最新版本。或从下载的补丁中获取gt-app-schema、gt-complex和 gt-xsd-core jar文件,替换掉WEB-INF/lib里面对应的文件即可。

下载链接:https://geoserver.org/

临时缓解措施:

从 GeoServer 中删除"gt-complex-xxx.jar"文件,其中xxx为当前GeoServer版本号。请注意,删除该文件可能导致GeoServer部分功能失效

参考链接

https://cxsecurity.com/cveshow/CVE-2024-36401/

https://github.com/geotools/geotools/pull/4797

https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv


原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】Geoserver远程代码执行漏洞(CVE-2024-36401)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月3日22:15:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Geoserver远程代码执行漏洞(CVE-2024-36401)https://cn-sec.com/archives/2915610.html

发表评论

匿名网友 填写信息