漏洞背景
近日,嘉诚安全监测到GeoServer property中存在一个表达式注入代码执行漏洞,漏洞编号为:CVE-2024-36401。
GeoServer是一个开源服务器,用于共享、处理和编辑地理空间数据,支持多种地图和数据标准,使用户能够通过网络访问和操作地理信息系统(GIS)数据。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏洞为高危漏洞。未经身份验证的用户可以通过向默认的GeoServer安装发送特制的输入,利用多个OGC请求参数,如WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic和WPS Execute请求,从而执行任意代码。这种远程代码执行将导致系统被完全控制,严重威胁系统安全,可能造成数据泄露、勒索或更广泛的网络攻击。
危害影响
影响版本:
2.25.0 <= GeoServer < 2.25.2
2.24.0 <= GeoServer < 2.24.4
GeoServer < 2.23.6
处置建议
建议您更新当前系统或软件至最新版本,完成漏洞的修复。
安全版本:
GeoServer 2.25.2
GeoServer 2.24.4
GeoServer 2.23.6
下载链接:
https://geoserver.org/
参考链接:
https://osgeo-org.atlassian.net/browse/GEOT-7587
https://github.com/advisories/GHSA-6jj6-gm7p-fcvv
原文始发于微信公众号(嘉诚安全):【漏洞通告】GeoServer property表达式注入代码执行漏洞安全风险通告
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论