GeoServer property 表达式注入代码执行漏洞（CVE-2024-36401） - 北京赛克艾威科技有限公司

GeoServer property 表达式注入代码执行漏洞（CVE-2024-36401）

北京赛克艾威科技有限公司 2024-07-02

漏洞编号：CVE-2024-36401
漏洞等级：高危
漏洞标签：暂无
发布时间：2024-07-02

漏洞描述

GeoServer是一个功能齐全,遵循OGC开放标准的开源WFS\-T和WMS服务器。CVE\-2024\-36401 中，攻击者可构造恶意请求执行任意java代码，控制服务器。

修复建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接

https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv

https://github.com/geotools/geotools/pull/4797

https://github.com/geotools/geotools/security/advisories/GHSA-w3pj-wh35-fq8w

https://github.com/Warxim/CVE-2022-41852?tab=readme-ov-file#workaround-for-cve-2022-41852

https://osgeo-org.atlassian.net/browse/GEOT-7587

https://avd.aliyun.com/detail?id=AVD-2024-36401