专栏名称: 奇安信 CERT
为企业级用户提供高危漏洞、重大安全事件安全风险通告和相关产品解决方案。
目录
相关文章推荐
新重庆-重庆日报  ·  以色列特工被捕,发现超200公斤爆炸物及23 ... ·  9 小时前  
新重庆-重庆日报  ·  关于调整“魅力重庆”无人机灯光秀展演时间的通告 ·  23 小时前  
重庆城市圈  ·  全市最长!重庆这条“地下长龙”,终于通了 ·  2 天前  
新重庆-重庆日报  ·  @重庆家长 中小学放假时间来了 ·  3 天前  
新重庆-重庆日报  ·  世界杯还没开踢 国民警卫队入选美国队“首发阵容” ·  3 天前  
51好读  ›  专栏  ›  奇安信 CERT

【已复现】GeoServer远程代码执行漏洞(CVE-2024-36401)安全风险通告

奇安信 CERT  · 公众号  ·  · 2024-07-03 13:01

正文

请到「今天看啥」查看全文


已公开

漏洞成因: GeoServer调用的GeoTools库API,在解析特性类型的属性/属性名称时,以不安全的方式将它们传递给commons-jxpath库,当解析XPath表达式时可以执行任意代码。

危害描述: 未经身份认证的远程攻击者可以通过该漏洞在服务器上执行任意代码,从而获取服务器权限。


0 1
漏洞详情
> > > >

影响组件

GeoServer 是一个开源的服务器软件,使用 Java 编写,主要功能是允许用户共享和编辑地理空间数据。它在设计时就考虑到了互操作性,支持使用开放标准来发布多种主流格式的空间数据。

> > > >

漏洞描述

近日,奇安信CERT监测到官方修复 GeoServer远程代码执行漏洞(CVE-2024-36401) ,由于该系统不安全地将属性名称解析为 XPath 表达式,未经身份认证的远程攻击者可以通过该漏洞在服务器上执行任意代码,从而获取服务器权限。 目前该漏洞技术细节与EXP已在互联网上公开, 鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。



02
影响范围
>






请到「今天看啥」查看全文


推荐文章
新重庆-重庆日报  ·  以色列特工被捕,发现超200公斤爆炸物及23架无人机!伊朗情报部门负责人确认身亡
9 小时前
新重庆-重庆日报  ·  关于调整“魅力重庆”无人机灯光秀展演时间的通告
23 小时前
重庆城市圈  ·  全市最长!重庆这条“地下长龙”,终于通了
2 天前
新重庆-重庆日报  ·  @重庆家长 中小学放假时间来了
3 天前
新重庆-重庆日报  ·  世界杯还没开踢 国民警卫队入选美国队“首发阵容”
3 天前
车买买  ·  4S店卖掉一辆车 到底赚了我们多少钱?
8 年前
肆客足球  ·  当温格拿起这把羽扇,一瞬间穿越千年
7 年前
半岛晨报  ·  国宝星月湾菩瑅组团诚意开售
7 年前
科技富能量  ·  iPhone8上市前,库克为何卖掉了苹果的股票?
7 年前
最黑科技  ·  德国老铁新发明!1秒喷净所有脏东西,万千少妇新宠
7 年前
移动版
51好读 - 微信公众号文章