漏洞描述
GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。它为提供交互操作性而设计,使用开放标准发布来自任何主要空间数据源的数据。
近日,赛博昆仑CERT监测到GeoServer存在远程代码执行漏洞(CVE-2024-36401)漏洞情报,未经身份认证的远程攻击者可以通过该漏洞在服务器上执行任意代码,从而获取服务器权限。
| 漏洞名称 | Geoserver远程代码执行漏洞 | ||
| 漏洞公开编号 | CVE-2024-36401 | ||
| 昆仑漏洞库编号 | CYKL-2024-014591 | ||
| 漏洞类型 | 代码执行 | 公开时间 | 2024-07-02 |
| 漏洞等级 | 高危 | 评分 | 9.8 |
| 漏洞所需权限 | 无权限要求 | 漏洞利用难度 | 低 |
| PoC状态 | 已公开 | EXP状态 | 未知 |
| 漏洞细节 | 已公开 | 在野利用 | 未知 |
GeoServer < 2.23.6
2.24.0 <= GeoServer < 2.24.4
2.25.0 <= GeoServer < 2.25.2
无需任何利用条件
目前赛博昆仑CERT已确认漏洞原理,复现截图如下:
GeoServer已经发布先前版本的补丁,可以从下载页面(https://geoserver.org/)下载:2.25.1、2.24.3、2.24.2、2.23.2、2.21.5、2.20.7、2.20.4、2.19.2、2.18.0,从下载的补丁中获取gt-app-schema和gt-complex和 gt-xsd-core jar文件,替换掉WEB-INF/lib里面对应的文件即可。
赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。
赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。
-
https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv -
https://osgeo-org.atlassian.net/browse/GEOT-7587
2024年7月2日,官方发布漏洞公告
2024年7月3日,赛博昆仑CERT公众号发布漏洞风险通告
原文始发于微信公众号(赛博昆仑CERT):【复现】Geoserver远程代码执行漏洞(CVE-2024-36401)的风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论