【已复现】GeoServer远程代码执行漏洞(CVE-2024-36401)安全风险通告

● 点击↑蓝字关注我们，获取更多安全风险通告

漏洞概述

漏洞名称

GeoServer远程代码执行漏洞

漏洞编号

QVD-2024-24967,CVE-2024-36401

公开时间

2024-07-01

影响量级

万级

奇安信评级

高危

CVSS 3.1分数

9.8

威胁类型

代码执行

利用可能性

高

POC状态

已公开

在野利用状态

未发现

EXP状态

已公开

技术细节状态

已公开

**漏洞成因：**GeoServer调用的GeoTools库API，在解析特性类型的属性/属性名称时，以不安全的方式将它们传递给commons-jxpath库，当解析XPath表达式时可以执行任意代码。

**危害描述：**未经身份认证的远程攻击者可以通过该漏洞在服务器上执行任意代码，从而获取服务器权限。

0****1

漏洞详情

>>>****>

影响组件

GeoServer 是一个开源的服务器软件，使用 Java 编写，主要功能是允许用户共享和编辑地理空间数据。它在设计时就考虑到了互操作性，支持使用开放标准来发布多种主流格式的空间数据。

>>>****>

漏洞描述

近日，奇安信CERT监测到官方修复GeoServer远程代码执行漏洞(CVE-2024-36401)，由于该系统不安全地将属性名称解析为 XPath 表达式，未经身份认证的远程攻击者可以通过该漏洞在服务器上执行任意代码，从而获取服务器权限。**目前该漏洞技术细节与EXP已在互联网上公开，**鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

02

影响范围

>>>****>

影响版本

GeoServer < 2.23.6

2.24.0 <= GeoServer < 2.24.4

2.25.0 <= GeoServer < 2.25.2

>>>****>

其他受影响组件

无

03

复现情况

目前，奇安信威胁情报中心安全研究员已成功复现GeoServer远程代码执行漏洞(CVE-2024-36401)，截图如下：

04

处置建议

>>>****>

安全更新

目前官方已有可更新版本，建议受影响用户升级至最新版本：

GeoServer 2.23.* >= 2.23.6

GeoServer 2.24.* >= 2.24.4

GeoServer 2.25.* >= 2.25.2

同时，官方已发布先前版本的补丁可供下载，包括已修复的 gt-app-schema、gt-complex 和 gt-xsd-core jar 文件。

补丁可从以下 GeoServer 版本的发布页面下载：

2.25.1、2.24.3、2.24.2、2.23.2、2.21.5、2.20.7、2.20.4、2.19.2、2.18.0。

下载后使用补丁文件替换原文件即可。

您可以从此处获取官方补丁下载地址：

https://github.com/geoserver/geoserver/releases

缓解措施：

从 GeoServer 中删除“gt-complex-x.y.jar”文件，其中“xy”是 GeoTools 版本（例如，如果运行 GeoServer 2.25.1，则为“gt-complex-31.1.jar”）。这将从 GeoServer 中删除易受攻击的代码，尤其是需要 gt-complex 模块时，可能会破坏某些 GeoServer 功能或导致 GeoServer 部署失败。

>>>****>

产品解决方案

奇安信开源卫士已支持

奇安信开源卫士20240703. 677 版本已支持对GeoServer远程代码执行漏洞(CVE-2024-36401)的检测。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：5754，建议用户尽快升级检测规则库至2407031130以上；

奇安信天眼检测方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.0703.14394及以上版本。

规则名称：GeoServer远程代码执行漏洞(CVE-2024-36401)

规则ID：0x10021C21

奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信自动化渗透测试系统检测方案

奇安信自动化渗透测试系统已经能够有效检测针对该漏洞的攻击，请将插件版本和指纹版本升级到202407052600以上版本。规则名称：GeoServer CVE-2024-36401 远程代码执行漏洞。奇安信自动化渗透测试系统规则升级方法：系统管理->升级管理->插件升级（指纹升级），选择“网络升级”或“本地升级”。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对GeoServer远程代码执行漏洞(CVE-2024-36401)的防护。

05

参考资料

[1]https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv

[2]https://github.com/geotools/geotools/pull/4797

[3]https://osgeo-org.atlassian.net/browse/GEOT-7587

06

时间线

2024年7月3日，奇安信 CERT发布安全风险通告。

07

漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务：

奇安信 CERT

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

点击↓阅读原文，到ALPHA威胁分析平台订阅更多漏洞信息。