网易首页 > 网易号 > 正文 申请入驻

0Day漏洞防御篇:GeoServer CVE-2024-36401远程代码执行漏洞

0
分享至

GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。它为提供交互操作性而设计,使用开放标准发布来自任何主要空间数据源的数据。GeoServer存在远程代码执行漏洞(CVE-2024-36401),未经身份认证的远程攻击者可以通过该漏洞在服务器上执行任意代码,从而获取服务器权限。在版本 2.23.6、2.24.4 和 2.25.2 之前,多个 OGC 请求参数允许未经身份验证的用户通过针对默认GeoServer 安装的特制输入进行远程代码执行(RCE),因为将属性名称评估为 XPath 表达式会不安全。

GeoServer 调用的 GeoTools 库 API 评估要素类型的属性/属性名称,从而不安全地将它们传递给 commons-jxpath 库,该库在评估 XPath 表达式时可以执行任意代码。此 XPath 评估仅供复杂要素类型(即应用程序架构数据存储)使用,但未错误地应用于简单要素类型,使得此漏洞适用于 **ALL** GeoServer 实例。未提供公开 PoC,但已确认可通过 WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic 和 WPS Execute 请求利用此漏洞。

此漏洞可导致执行任意代码。版本 2.23.6、2.24.4 和 2.25.2 包含针对该问题的修补程序。解决方法是从GeoServer中删除“gt-complex-x.y.jar”文件,其中“x.y”是GeoTools版本(例如,如果运行GeoServer 2.25.1,则为“gt-complex-31.1.jar”)。这将从GeoServer中删除易受攻击的代码,但可能会破坏某些GeoServer功能,或者在需要gt-complex模块时阻止GeoServer部署。

经过开源网安RASP团队分析,该漏洞与CVE-2022-41852漏洞具有很高的相关性。

漏洞特性

影响版本

GeoServer < 2.23.6

2.24.0 <= GeoServer < 2.24.4

2.25.0 <= GeoServer < 2.25.2

攻击效果

运行应用

未安装RASP,运行应用并发送攻击请求,如下图:

可以看出,当使用以下参数:

请求:

如图所示,执行了远程代码,exec(java.lang.Runtime.getRuntime(),'touch%20/tmp/success1')。

防护效果

安装RASP,再次请求:

响应被拦截。RASP平台针对该请求共检测出3条攻击行为,分别为:命令注入、不安全的反射、远程命令/代码执行漏洞(RCE)。

不安全的反射:

远程命令/代码执行漏洞(RCE):

命令注入:

综上所述,证明RASP可针对CVE-2024-36401漏洞从多个角度进行检测。

参考资料

https://github.com/advisories/GHSA-6jj6-gm7p-fcvv

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
中日韩新船订单差距断崖:韩184艘,日仅31艘,中国令人意外

中日韩新船订单差距断崖:韩184艘,日仅31艘,中国令人意外

阿郎娱乐
2026-07-05 18:26:13
东风导弹泄密案!间谍郭万钧一家三口,全部被处以死刑

东风导弹泄密案!间谍郭万钧一家三口,全部被处以死刑

番外行
2026-03-31 08:28:28
内地赴香港政策调整,7月1日起生效!

内地赴香港政策调整,7月1日起生效!

港漂圈
2026-07-05 19:05:49
调整!7月6日央视直播乒乓大满贯收官日有变,孙颖莎冲击女单金牌

调整!7月6日央视直播乒乓大满贯收官日有变,孙颖莎冲击女单金牌

临云史策
2026-07-05 15:23:42
2026广东高考报考大数据,热门高校一目了然

2026广东高考报考大数据,热门高校一目了然

朗威谈星座
2026-07-05 16:10:36
狗交配时屁股为什么会连在一起?是母狗不让,还是公狗不想?

狗交配时屁股为什么会连在一起?是母狗不让,还是公狗不想?

宇宙时空
2026-05-25 12:57:36
全网愤怒!狂批世界杯有黑幕:严查最烂的裁判 巴拉圭跟流氓没两样

全网愤怒!狂批世界杯有黑幕:严查最烂的裁判 巴拉圭跟流氓没两样

风过乡
2026-07-05 08:01:40
湖北首家民营银行住进了ICU:卓尔、当代等湖北民企的集体悲鸣

湖北首家民营银行住进了ICU:卓尔、当代等湖北民企的集体悲鸣

财富情报局
2026-07-05 13:06:41
愿意底薪回归!被詹姆斯统治东部的恐惧回来了...

愿意底薪回归!被詹姆斯统治东部的恐惧回来了...

柚子说球
2026-07-05 18:51:14
我发现,60后和70后还能顺利退休,80后、90后和00后很难熬到退休

我发现,60后和70后还能顺利退休,80后、90后和00后很难熬到退休

舒山有鹿
2026-07-05 10:43:52
湖人对库明加很感兴趣,但詹姆斯的决定正在影响他的市场行情?

湖人对库明加很感兴趣,但詹姆斯的决定正在影响他的市场行情?

稻谷与小麦
2026-07-05 00:05:10
我国首架,首飞成功!

我国首架,首飞成功!

环球网资讯
2026-07-04 15:50:17
重庆博主打出租车去西藏获赞超1800万,西藏官方回应:将及时兑现50万元奖励

重庆博主打出租车去西藏获赞超1800万,西藏官方回应:将及时兑现50万元奖励

极目新闻
2026-07-05 14:39:08
世界杯带火非洲岛国佛得角,人口50多万拥有7座客运机场,当地中国人称:最近国人多了起来

世界杯带火非洲岛国佛得角,人口50多万拥有7座客运机场,当地中国人称:最近国人多了起来

时代财经
2026-07-04 20:18:23
L3/L4强制性国标关上了小鹏理想崇拜的特斯拉纯FSD视觉方案的大门

L3/L4强制性国标关上了小鹏理想崇拜的特斯拉纯FSD视觉方案的大门

沙雕小琳琳
2026-07-04 09:54:10
俄宣布占领康斯坦丁尼夫卡,国际权威媒体:俄军仅控制了37%

俄宣布占领康斯坦丁尼夫卡,国际权威媒体:俄军仅控制了37%

史政先锋
2026-07-04 13:25:19
世预赛!中国男篮VS中国台北,3好消息1坏消息,庞峥麟有机会

世预赛!中国男篮VS中国台北,3好消息1坏消息,庞峥麟有机会

林子说事
2026-07-05 15:35:53
贝克汉姆14岁的女儿小七怎么如此成熟了,好像少妇

贝克汉姆14岁的女儿小七怎么如此成熟了,好像少妇

西楼知趣杂谈
2026-06-13 19:52:21
普京身着军装出席会议,俄外交部发言人扎哈罗娃:现在的信号很明确,我们将在所有战线上彻底消灭恐怖主义新纳粹败类

普京身着军装出席会议,俄外交部发言人扎哈罗娃:现在的信号很明确,我们将在所有战线上彻底消灭恐怖主义新纳粹败类

极目新闻
2026-07-05 14:52:27
婆婆病重,我给换尿不湿,她突然说:你再孝顺,也比不上我的女儿

婆婆病重,我给换尿不湿,她突然说:你再孝顺,也比不上我的女儿

茶余饭后故事会
2026-05-23 17:31:01
2026-07-05 22:12:49
SecZone开源网安
SecZone开源网安
开源网安是中国软件安全行业的创领者,为用户提供研发安全、软件供应链安全及安全教育等一站式服务。
358文章数 14关注度
往期回顾 全部

科技要闻

华为:逻辑折叠将大幅提升麒麟CPU核心频率

头条要闻

在新疆遭泥石流卷走失联多日的母子被找到 均不幸遇难

头条要闻

在新疆遭泥石流卷走失联多日的母子被找到 均不幸遇难

体育要闻

姆巴佩点走巴拉圭:巴黎三代左锋传承

娱乐要闻

霉霉婚礼照片泄露 有四人违规

财经要闻

揭秘跨境“对敲”换汇黑产

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

游戏
艺术
本地
旅游
公开课

《GTA6》新预告在世界杯决赛发布?野心太大!

艺术要闻

画布上邂逅一场光影之恋:俄罗斯油画大师的温柔人间

本地新闻

国内足球之旅?这座小城给你高分答案

旅游要闻

让更多游客留下来过夜,上海主题乐园打响加时赛

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版