GeoTools 远程代码执行漏洞(CVE-2024-36404)
CVE编号
CVE-2024-36404利用情况
暂无补丁情况
N/A披露时间
2024-07-02漏洞描述
GeoTools 是一个用于处理地理空间数据(如地理信息系统: GIS)的开源代码库,并且支持 OGC 过滤器表达式语言的解析和编码。 GeoTools 的受影响版本在处理用户输入的 XPATH 表达式时未做处理直接传递给了 commons-jxpath 库进行解析,由于 commons-jxpath 可以执行任意代码,从而导致任意代码执行漏洞。 在修复版本中通过在 GeoTools 库中新增 JXPathUtils 类提供 newSafeContext 方法,该方法通过设置空的 FunctionLibrary 来创建禁止调用 Java 方法的 JXPathContext,从而防止在 XPath 表达式中调用任意 Java 方法。解决建议
"将组件 org.geotools:gt-app-schema 升级至 29.6 及以上版本""将组件 org.geotools:gt-app-schema 升级至 30.4 及以上版本""将组件 org.geotools.xsd:gt-xsd-core 升级至 30.4 及以上版本""将组件 org.geotools:gt-complex 升级至 31.2 及以上版本""将组件 org.geotools.xsd:gt-xsd-core 升级至 29.6 及以上版本""将组件 org.geotools:gt-app-schema 升级至 31.2 及以上版本""将组件 org.geotools.xsd:gt-xsd-core 升级至 31.2 及以上版本""将组件 org.geotools:gt-complex 升级至 29.6 及以上版本""将组件 org.geotools:gt-complex 升级至 30.4 及以上版本"- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论