GeoServer 未授权 代码注入漏洞

• 漏洞编号：CVE-2024-36401
  
• 漏洞类型：代码注入
• 漏洞等级：严重
• 发布时间：2024-07-02

漏洞描述：

GeoServer 是一个开源服务器，允许用户共享和编辑地理空间数据。

GeoServer在版本2.23.6、2.24.4和2.25.2之前，允许未经身份验证的用户通过多个OGC请求参数针对默认GeoServer安装的特别构造的输入利用代码注入漏洞，该漏洞是由于应用不安全地将属性名称作为XPath表达式进行评估，攻击者可以在默认安装的服务器中执行XPath表达式，进而利用执行Apache Commons Jxpath提供的功能执行任意代码。

影响版本：

修复建议

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。
漏洞修复版本：

厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：

GeoServer >= 2.25.2

GeoServer >= 2.24.4

GeoServer >= 2.23.6

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

参考链接:
https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvvhttps://github.com/geotools/geotools/security/advisories/GHSA-w3pj-wh35-fq8whttps://github.com/geotools/geotools/pull/4797https://github.com/Warxim/CVE-2022-41852?tab=readme-ov-file#workaround-for-cve-2022-41852https://osgeo-org.atlassian.net/browse/GEOT-7587https://cxsecurity.com/cveshow/CVE-2024-36401/