【已复现】安全通告|GeoServer远程代码执行漏洞(CVE-2024-36401)

发布于 作者:

【已复现】安全通告|GeoServer远程代码执行漏洞(CVE-2024-36401)

蓝鸟安全 2024-07-03 20:31

一、漏洞描述

GeoServer是一款开源的地理数据服务器软件,主要用于发布、共享和处理各种地理空间数据。它支持众多的地图和空间数据标准,能够使各种设备通过网络来浏览和使用这些地理信息数据。

近日,中睿天下安全团队监测到GeoServer  wfs接口处存在远程代码执行漏洞,由于不安全地将属性名称解析为XPath 表达式,未经身份验证的威胁者可通过发送恶意请求,利用多个OGC请求参数(如WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic 和 WPS Execute请求)导致远程代码执行,获取服务器敏感信息,甚至可能导致服务器失陷。
鉴于该漏洞影响较大,建议客户尽快做好自查及防护。

二、漏洞信息

01

漏洞详情

02

漏洞复现

中睿天下安全服务团队针对此次漏洞信息,进行即时响应并成功复现漏洞:

图:复现成果

三、影响范围

01

影响版本范围

2.25.0 <= GeoServer < 2.25.2

2.24.0 <= GeoServer < 2.24.4

GeoServer < 2.23.6

02

资产使用情况

根据指纹特征(app:”GeoServer”),通过资产测绘系统发现,全球共12,979条GeoServer的使用记录,其中中国有4783条使用记录。

四、修复建议

01

官方修复建议

目前厂商已发布升级补丁以修复漏洞,建议受影响用户尽快进行版本更新。

官方下载链接:https://github.com/geoserver/geoserver/releases

五、技术服务

01

服务介绍

中睿天下安全服务团队将跟踪现有网络中各主机、设备、应用、数据库等最新的网络安全漏洞,结合专家团队的网络安全态势分析结果,及时向客户推送重要的网络安全风险通告。

02

服务内容

1、每周安全通告

每周提供网络安全信息与动态通告,通告主要包括本周漏洞要闻(漏洞详情、漏洞风险、风险等级、影响范围、修复建议等)、重大网络安全事件、安全热点资讯等内容。每周安全通告采用电子邮件、微信推送等订阅方式,定期推送给客户。

2、紧急漏洞通告

出现影响范围广的高危漏洞时,安全服务团队将第一时间推送紧急漏洞通告,包括漏洞涉及的产品及版本信息、漏洞检测步骤、检测规则及相关应急处置方案。便于客户及时掌握高风险级别漏洞信息、应对外部威胁。紧急漏洞通告采用电子邮件、电话联系等方式立即推送给客户。

3、客户收益

  • 及时掌握漏洞情况,可及时有效地消除安全隐患和规避攻击威胁。

  • 提升企业安全运维人员的工作效率,高效保障业务连续性。

03

联系方式

如有漏洞检测和修复相关需求请联系以下方式获取技术支撑: