GeoServer property 表达式注入致代码执行漏洞

GeoServer是一个开源服务器，用于共享、处理和编辑地理空间数据。它支持多种地图和数据标准，使用户能够通过网络访问和操作地理信息系统（GIS）数据。
2024年7月，互联网上披露Geoserver表达式注入致远程代码执行漏洞（CVE-2024-36401），攻击者无需认证即可利用该漏洞获取服务器权限。

可能导致的危害包括但不限于：

1. 完全控制服务器：攻击者可以执行系统命令，获取服务器的完全控制权。
2. 数据泄露：攻击者可以访问、修改或删除服务器上的敏感数据。
3. 网站篡改：攻击者可以修改网站内容，进行钓鱼攻击或其他形式的欺诈。
4. 持久性后门：攻击者可以在服务器上安装后门，以便未来随时访问。
5. 服务中断：攻击者可以通过破坏服务器正常运行来导致服务中断。

移除 GeoServer 中的 gt-complex-x.y.jar 文件（x.y 是 GeoTools 版本）。对于 geoserver.war 部署：停止应用服务器，解压 geoserver.war，找到并删除 WEB-INF/lib/gt-complex-x.y.jar，重新打包为新的 geoserver.war 并重启应用服务器；对于 GeoServer 二进制版本：停止 Jetty，定位并删除 webapps/geoserver/WEB-INF/lib/gt-complex-x.y.jar，然后重启 Jetty。
下载修补后的 gt-app-schema、gt-complex 和 gt-xsd-core jar 文件（例如 GeoServer 2.25.1 的补丁包 https://sourceforge.net/projects/geoserver/files/GeoServer/2.25.1/geoserver-2.25.1-patches.zip/download），替换现有 WEB-INF/lib 文件夹中的 jar 文件。
更新到已修复此漏洞的 GeoTools 版本：30.4、31.2、29.6 或 28.6。可以从 SourceForge 下载修补版 jar 文件，例如 31.1、30.3、30.2、29.2、28.2。
升级 GeoServer 和 GeoTools 到已解决此漏洞的版本，具体版本信息可参考：https://www.vicarius.io/vsociety/products/25557_60152/geoserver 和 https://www.vicarius.io/vsociety/products/84407_147962/geotools。