【攻防演练】Geoserver表达式注入致远程代码执行漏洞（CVE-2024-36401）

Geoserver表达式注入致远程代码执行漏洞（CVE-2024-36401）

漏洞描述

GeoServer 是一个开源服务器，允许用户共享和编辑地理空间数据。

GeoServer是一个用Java编写的开源软件服务器，允许用户共享和编辑地理空间数据。它为提供交互操作性而设计，使用开放标准发布来自任何主要空间数据源的数据。

GeoServer在版本2.23.6、2.24.4和2.25.2之前，允许未经身份验证的用户通过多个OGC请求参数针对默认GeoServer安装的特别构造的输入利用代码注入漏洞，该漏洞是由于应用不安全地将属性名称作为XPath表达式进行评估，攻击者可以在默认安装的服务器中执行XPath表达式，进而利用执行Apache Commons Jxpath提供的功能执行任意代码。

该系统不安全地将属性名称解析为 XPath 表达式。GeoServer 调用的 GeoTools 库 API 以不安全的方式将要素类型的属性名称传递给 commons-jxpath 库。该库在解析 XPath 表达式时，可以执行任意代码。这种 XPath 评估本应仅供复杂要素类型（例如应用程序架构数据存储）使用，但由于错误，该机制也被应用于简单要素类型。这使得所有 GeoServer 实例都可能受到该漏洞的影响。

此漏洞可能导致远程代码执行 (RCE)。未经身份验证的用户可以通过向默认的 GeoServer 安装发送特制的输入，利用多个 OGC 请求参数，如 WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic 和 WPS Execute 请求，从而执行任意代码。这种远程代码执行将导致系统被完全控制，严重威胁系统安全，可能造成数据泄露、勒索或更广泛的网络攻击。

漏洞编号：CVE-2024-36401

漏洞威胁等级：严重

影响版本

GeoServer < 2.23.6

2.24.0 <= GeoServer < 2.24.4

2.25.0 <= GeoServer < 2.25.2

修复建议

正式防护方案：

GeoServer已经发布先前版本的补丁，可以从下载页面（https://geoserver.org/）下载：2.25.1、2.24.3、2.24.2、2.23.2、2.21.5、2.20.7、2.20.4、2.19.2、2.18.0，从下载的补丁中获取gt-app-schema和gt-complex和 gt-xsd-core jar文件，替换掉WEB-INF/lib里面对应的文件即可。

厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：

GeoServer >= 2.25.2

GeoServer >= 2.24.4

GeoServer >= 2.23.6

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

临时缓解措施

删除GeoServer 中gt-complex-x.y.jar文件（x.y为GeoTools 版本，例如GeoServer 2.25.1中是gt-complex-31.1.jar）,这将从 GeoServer 中删除漏洞代码，但可能会破坏某些 GeoServer 功能。

临时修复方案

• 使用防护类设备对相关资产进行防护，拦截请求中的恶意命令执行语句。

• 如非必要，避免将资产暴露在互联网。

原文始发于微信公众号（利刃信安）：【攻防演练】Geoserver表达式注入致远程代码执行漏洞（CVE-2024-36401）