漏洞名称：GeoServer /geoserver/wfs 远程代码执行漏洞（CVE-2024-36401）

English Name：GeoServer /geoserver/wfs Code Execution Vulnerability(CVE-2024-36401)

CVSS core: 9.8

漏洞描述：

GeoServer 是一个开源服务器，允许用户共享和编辑地理空间数据，依赖 GeoTools 库来处理地理空间数据。

受影响的版本中 GeoTools 库的 API 在处理要素类型的属性名称时，会将这些属性名称不安全地传递给 commons-jxpath 库进行解析，由于 commons-jxpath 库在解析 XPath 表达式时可以执行任意代码，从而导致未经身份验证的用户能够利用特定的 OGC 请求参数远程执行代码。

FOFA查询规则: app=“GeoServer”

受影响资产数量: 7962

受影响版本:

GeoServer 2.23.* < 2.23.6
GeoServer 2.24.* < 2.24.4
GeoServer 2.25.* < 2.25.2

解决方案：

目前官方已有可更新版本，建议受影响用户升级至最新版本：

同时，官方已发布先前版本的补丁可供下载，包括已修复的 gt-app-schema、gt-complex 和 gt-xsd-core jar 文件。

补丁可从以下 GeoServer 版本的发布页面下载：

2.25.1、2.24.3、2.24.2、2.23.2、2.21.5、2.20.7、2.20.4、2.19.2、2.18.0。

下载后使用补丁文件替换原文件即可。

您可以从此处获取官方补丁下载地址https://github.com/geoserver/geoserver/releases

漏洞检测工具：

【Goby】-资产绘测及实战化漏洞扫描工具，（支持回显命令执行，内存马），实战漏洞利用效果如图所示：

点击下载Goby：Goby-资产绘测及实战化漏洞扫描工具

查看Goby更多漏洞：Goby历史漏洞合集

关注Goby公众号获取最新动态：GobySec