Geoserver XPath表达式注入致远程代码执行漏洞复现(CVE-2024-36401)

已于 2024-07-04 18:55:55 修改
阅读量2.4k 收藏 1
点赞数 22
CC 4.0 BY-SA版权
分类专栏: 漏洞复现v1 文章标签: web安全 安全
于 2024-07-03 15:14:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/140146652

0x01 产品简介

GeoServer是一个开源服务器,用于共享、处理和编辑地理空间数据。它支持多种地图和数据标准,使用户能够通过网络访问和操作地理信息系统(GIS)数据。

0x02 漏洞概述

2024年7月,互联网上披露Geoserver表达式注入致远程代码执行漏洞(CVE-2024-36401),攻击者无需认证即可利用该漏洞获取服务器权限,建议受影响的客户尽快修复漏洞。

漏洞成因

该系统不安全地将属性名称解析为 XPath 表达式。GeoServer 调用的 GeoTools 库 API 以不安全的方式将要素类型的属性名称传递给 commons-jxpath 库。该库在解析 XPath 表达式时,可以执行任意代码。这种 XPath 评估本应仅供复杂要素类型(例如应用程序架构数据存储)使用,但由于错误,该机制也被应用于简单要素类型。这使得所有 GeoServer 实例都可能受到该漏洞的影响。

漏洞影响

此漏洞可能导致远程代码执行 (RCE)。未经身份验证的用户可以通过向默认的 GeoServer 安装发送特制的输入,利用多个 OGC 请求参数,如 WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic 和 WPS Execute 请求,从而执行任意代码。这种远程代码执行将导致系统被完全控制,严重威胁系统安全,可能造成数据泄露、勒索或更广泛的网络攻击。

0x03 影响范围

2.25.0 <= GeoServ

了解本专栏 订阅专栏 解锁全文 超级会员免费看
GeoServer 属性名表达式前台代码执行漏洞CVE-2024-36401
4SecNet团队专栏
09-29 484
GeoServer是一个开源服务器,用于共享、处理和编辑地理空间数据。它支持多种地图和数据标准,使用户能够通过网络访问和操作地理信息系统(GIS)数据,遵循OGC开放标准的开源WFS-T和WMS服务器。在GeoServer 2.25.1, 2.24.3, 2.23.5版本及以前,未登录的任意用户可以通过构造恶意OGC请求,在默认安装的服务器中执行XPath表达式,进而利用执行Apache Commons Jxpath提供的功能执行任意代码。nuclei格式检测规则。python脚本扫描。
漏洞复现CVE-2024-36401 Geoserver远程代码执行漏洞复现
渗透之路,攻防之间皆学问
10-24 3899
GeoServer存在远程代码执行漏洞CVE-2024-36401),未经身份认证的远程攻击者可以通过该漏洞在服务器上执行任意代码,从而获取服务器权限。
GeoServer远程代码执行漏洞复现(CVE-2024-36401)
qq_26229345的博客
07-08 9076
文章仅供参考,本文所提供的信息只为网络安全人员对自己所负责的网站、服务器等进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责!
CVE-2024-36401 RCE漏洞,从零基础到精通,收藏这篇就够了!
QIANDXX的博客
05-30 327
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和。
漏洞复现Geoserver远程代码执行漏洞CVE-2024-36401
今天是几号的博客
07-03 5036
GeoServer已经发布先前版本的补丁,可以从下载页面(https://geoserver.org/)下载:2.25.1、2.24.3、2.24.2、2.23.2、2.21.5、2.20.7、2.20.4、2.19.2、2.18.0,从下载的补丁中获取gt-app-schema和gt-complex和 gt-xsd-core jar文件,替换掉WEB-INF/lib里面对应的文件即可。它为提供交互操作性而设计,使用开放标准发布来自任何主要空间数据源的数据。
CVE-2024-23692:Rejetto HFS 2.x 远程代码执行漏洞[附POC]
薛定谔嘚喵博客
06-14 2423
Rejetto HTTP文件服务器是一个轻量级的HTTP服务器软件,它允许用户在本地计算机上快速搭建一个文件共享服务。2024年6月,互联网上披露其 2.x系列 存在CVE-2024-23692 远程代码执行漏洞,该漏洞源于存在模板注入漏洞,允许远程未经身份验证的攻击者通过发送特制的HTTP请求在受影响的系统上执行任意命令。
未公开 GeoServer开源服务器wfs远程命令执行漏洞复现(CVE-2024-36401)
小司机的奥拓
07-03 1358
资源分享包含但不限于网上未公开的day漏洞(更新漏洞POC共500+),2024最新企业SRC/CNVD/Edu实战挖掘技巧报告,红队内网横向渗透,代码审计,JS逆向,SRC培训等课程。
GeoServerxpath表达式远程代码执行CVE-2024-36401漏洞复现及分析
bring_coco的博客
11-15 1006
比如GetPropertyValue(获取属性值),GetFeatureWithLock(获取带锁特征),CreateStoredQuery(创建存储查询),DropStoredQuery(删除存储查询),ListStoredQueries(列出已存储的查询),DescribeStoredQuery(描述存储查询)尽管版本之间存在一些重要差异,但请求语法通常保持不变。检查缓存中是否存在xpath已编译的表达式,如果 expr 不为 null,表示缓存中已存在已编译的表达式,直接返回该表达式,否则会编译。
GeoServer property 表达式注入代码执行漏洞(CVE-2024-36401)
huangyongkang666的博客
07-10 1391
GeoServer安装的特别构造的输入利用代码注入漏洞,该漏洞是由于应用不安全地将属性名称作为XPath表达式进行评估,攻击者可以在默认安装的服务器中执行XPath表达式,进而利用执行Apache Commons Jxpath提供的功能执行任意代码。
CVE-2024-36401GeoServer远程代码执行漏洞复现 [附POC]
薛定谔嘚喵博客
07-08 8211
GeoServer是一个开源服务器,允许用户共享和编辑地理空间数据。在版本2.23.6、2.24.4和2.25.2之前存在一个远程代码执行漏洞,该漏洞源于GeoServer 调用的 GeoTools 库 API 评估要素类型的属性/属性名称,从而不安全地将它们传递给 commons-jxpath 库,该库在评估 XPath 表达式时可以执行任意代码。该漏洞允许未经身份验证的用户通过针对默认GeoServer安装的特制输入进行远程代码执行
[漏洞复现]Geoserver表达式注入远程代码执行漏洞CVE-2024-36401
LiangYueSec的博客
07-03 1032
[漏洞复现]Geoserver表达式注入远程代码执行漏洞CVE-2024-36401
Geoserver漏洞复现
2301_80115097的博客
04-23 2417
(https://github.com/geoserver/geoserver/)获取2.23.4或2.24.1及以上的版本修复漏洞。官网:https://sourceforge.net/projects/geoserver/files/GeoServer/下载地址:https://github.com/geoserver/geoserver/releases。仓库托管地址:https://github.com/geoserver/geoserver。默认账号密码:admin/geoserver
漏洞复现-GeoServer 远程代码执行漏洞CVE-2024-36401
玄道的网安博客
08-12 1326
受影响的版本中,未登录的任意用户可以通过构造恶意OGC请求,在默认安装的服务器中执行XPath表达式,进而利用执行Apache Commons Jxpath提供的功能执行任意代码。GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现,利用 GeoServer 可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插入操作。将geoserver平台升级到最新版。
Goby漏洞利用优化 | GeoServer远程代码执行漏洞CVE-2024-36401)(支持回显命令执行、内存马)
m0_46699477的博客
07-09 1167
GeoSverver 远程代码执行漏洞 CVE-2024-36401:GeoSverver Tools 库的 API 在处理要素类型的属性名称时,会将这些属性名称不安全地传递给 commons-jxpath 库进行解析,由于 commons-jxpath 库在解析 XPath 表达式时可以执行任意代码,从而导致未经身份验证的用户能够利用特定的 OGC 请求参数远程执行代码。
全网首发 GeoServer 远程代码执行漏洞(CVE-2024-36401)
WuYSec的博客
07-02 1872
GeoServer 是一个开源服务器,允许用户共享和编辑地理空间数据,依赖 GeoTools 库来处理地理空间数据。受影响的版本中 GeoTools 库的 API 在处理要素类型的属性名称时,会将这些属性名称不安全地传递给 commons-jxpath 库进行解析,由于 commons-jxpath 库在解析 XPath 表达式时可以执行任意代码,从而导致未经身份验证的用户能够利用特定的 OGC 请求参数远程执行代码。
CVE-2024-36401 GeoServer远程代码执行
最新发布
haoyv147的博客
07-01 896
GeoServer调用的GeoTools库API,在解析特性类型的属性/属性名称时,以不安全的方式将它们传递给commons-jxpath库,当解析XPath表达式时可以执行任意代码。GeoServer 使用了某些类库(如 XStream)来反序列化 XML 请求,如果攻击者传入了精心构造的 XML Payload,GeoServer 将在处理过程中。此漏洞允许未经身份验证的攻击者远程执行任意代码,危及服务器的完整性与数据安全。这个请求触发了 XMLDecoder 执行,从而在服务器上运行了恶意命令。
CVE-2024-36401 GeoServer rce 分析
weixin_52381874的博客
07-05 1726
GeoServer 是一个开源服务允许用户共享和编辑地理空间数据。在版本 2.23.6、2.24.4 和 2.25.2 之前,多个 OGC 请求参数允许未经身份验证的用户通过针对默认 GeoServer 安装的特制输入进行远程代码执行 (RCE),因为将属性名称评估为 XPath 表达式会不安全GeoServer 调用的 GeoTools 库 API 评估要素类型的属性/属性名称,从而不安全地将它们传递给 commons-jxpath 库,该库在评估 XPath 表达式时可以执行任意代码。
【靶机实战】GeoServer 远程代码执行漏洞复现
qq_21039641的博客
07-10 2217
CVE-2024-36401是一个高危的远程代码执行漏洞,存在于GeoServer软件中。GeoServer是一个用Java编写的开源服务器,用于共享和编辑地理空间数据。该漏洞允许未经身份验证的远程攻击者通过构造特定的请求,在服务器上执行任意代码,从而可能获取服务器的控制权。这个漏洞2024年7月2日被公开,影响多个版本的GeoServer,包括2.24.0至2.24.3以及2.25.0至2.25.1。
GeoServer wms远程代码执行漏洞
weixin_43567873的博客
03-26 718
GeoServer wms远程代码执行漏洞
geoserver2.18.0出现安全漏洞(CVE-2022-2048),资源管理错误漏洞(CVE-2021-28165)安全漏洞(CVE-2024-22201)不受控制的资源消耗漏洞CVE-2023-36478)怎么修复
03-14
<think>好的,我需要帮助用户查找Geoserver 2.18.0中多个CVE漏洞的修复方法。用户提到的漏洞包括CVE-2022-2048、CVE-2021-28165、CVE-2024-22201和CVE-2023-36478。首先,我需要逐一分析每个漏洞的情况,并找到对应的修复措施。 首先,针对CVE-2022-2048,我记得这可能是一个远程代码执行漏洞,通常需要升级到特定版本或应用补丁。然后CVE-2021-28165是资源管理错误漏洞,可能涉及依赖库的问题,比如Spring Framework。接着,CVE-2024-22201是安全漏洞,可能需要查看最新的GeoServer补丁或版本更新。最后,CVE-2023-36478是不受控制的资源消耗漏洞,可能与请求处理或配置优化有关。 需要确认每个漏洞的官方修复建议,可能需要访问GeoServer的官方文档或安全公告。另外,用户使用的版本是2.18.0,这个版本可能比较旧,官方可能已经停止支持,所以升级到更高版本可能是必要的。例如,GeoServer的维护版本如2.22.x或2.23.x可能已经修复了这些漏洞。 同时,用户提供的引用中提到了CVE-2024-36401的修复方法,这可能与依赖库如Spring Framework的升级有关,比如升级到5.3.30或5.2.27版本。这可能对其他CVE也有帮助,尤其是那些涉及依赖库的漏洞。 需要逐个核对每个CVE的详细信息,确认它们是否影响GeoServer 2.18.0,以及对应的修复措施。例如,CVE-2021-28165可能涉及Spring Framework,需要升级相关依赖。而CVE-2023-36478可能需要配置调整,如限制请求大小或设置超时时间。 总结来说,主要的修复方法可能包括:升级GeoServer到最新维护版本,升级相关的依赖库(如Spring Framework),以及调整配置文件中的参数。此外,用户可能需要参考每个CVE的具体建议,确保所有漏洞都被覆盖。</think>针对GeoServer 2.18.0版本中多个CVE漏洞的修复方案如下: ### 1. CVE-2022-2048(远程代码执行漏洞- **修复方法**:升级至GeoServer 2.20.7或更高版本[^1]。该漏洞源于OGC Filter表达式解析缺陷,建议通过以下操作缓解: ```xml <!--geoserver/WEB-INF/web.xml中添加过滤器限制 --> <filter> <filter-name>expression-filter</filter-name> <filter-class>org.geoserver.filters.ExpressionFilter</filter-class> </filter> ``` ### 2. CVE-2021-28165(Spring Framework资源管理错误) - **影响范围**:使用Spring Framework 5.3.0-5.3.18的GeoServer - **修复步骤**: - 升级Spring Framework至5.3.30+或5.2.27+版本 - 修改`WEB-INF/lib/`目录下的相关JAR包: ```bash # 替换spring-webmvc-*.jar和spring-core-*.jar wget https://repo1.maven.org/maven2/org/springframework/spring-webmvc/5.3.30/spring-webmvc-5.3.30.jar ``` ### 3. CVE-2024-22201(WFS服务安全漏洞- **临时缓解方案**: - 在`geoserver/WEB-INF/web.xml`中禁用WFS服务: ```xml <context-param> <param-name>service.disabled</param-name> <param-value>wfs</param-value> </context-param> ``` - 官方建议升级至GeoServer 2.23.2+版本[^2] ### 4. CVE-2023-36478(资源消耗漏洞- **配置优化方案**: ```properties # 在geoserver/WEB-INF/classes/geoserver.properties中添加 maxHttpHeaderSize=8192 connectionUploadTimeout=30000 maxFormContentSize=204800 ``` ### 综合升级建议(推荐): 1. 备份现有配置和数据 2. 下载GeoServer 2.23.2安装包: ```bash wget https://sourceforge.net/projects/geoserver/files/GeoServer/2.23.2/geoserver-2.23.2-bin.zip ``` 3. 验证依赖库版本: ```bash # 检查Spring Framework版本 unzip -l geoserver.war | grep spring-webmvc ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值