Geoserver XPath表达式注入致远程代码执行漏洞复现(CVE-2024-36401)

0x01 产品简介

GeoServer是一个开源服务器，用于共享、处理和编辑地理空间数据。它支持多种地图和数据标准，使用户能够通过网络访问和操作地理信息系统（GIS）数据。

0x02 漏洞概述

2024年7月，互联网上披露Geoserver表达式注入致远程代码执行漏洞（CVE-2024-36401），攻击者无需认证即可利用该漏洞获取服务器权限，建议受影响的客户尽快修复漏洞。

漏洞成因

该系统不安全地将属性名称解析为 XPath 表达式。GeoServer 调用的 GeoTools 库 API 以不安全的方式将要素类型的属性名称传递给 commons-jxpath 库。该库在解析 XPath 表达式时，可以执行任意代码。这种 XPath 评估本应仅供复杂要素类型（例如应用程序架构数据存储）使用，但由于错误，该机制也被应用于简单要素类型。这使得所有 GeoServer 实例都可能受到该漏洞的影响。

漏洞影响

此漏洞可能导致远程代码执行 (RCE)。未经身份验证的用户可以通过向默认的 GeoServer 安装发送特制的输入，利用多个 OGC 请求参数，如 WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic 和 WPS Execute 请求，从而执行任意代码。这种远程代码执行将导致系统被完全控制，严重威胁系统安全，可能造成数据泄露、勒索或更广泛的网络攻击。

0x03 影响范围

2.25.0 <= GeoServer < 2.25.2

2.24.0 <= GeoServer < 2.24.4

Geo