漏洞概述 | |||
漏洞名称 | GeoServer SQL注入漏洞 | ||
漏洞编号 | QVD-2023-4979、CVE-2023-25157 | ||
公开时间 | 2023-02-21 | 影响对象数量级 | 万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 8.1 |
威胁类型 | 代码执行 | 利用可能性 | 高 |
POC状态 | 已发现 | 在野利用状态 | 未发现 |
EXP状态 | 未发现 | 技术细节状态 | 未公开 |
危害描述:未经身份验证的攻击者可以利用该漏洞进行SQL注入,执行恶意代码。 | |||
(注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。)
01 漏洞详情
影响组件
GeoServer是一个用Java编写的开源服务器,它允许用户共享、处理和编辑地理空间数据。为了互操作性而设计,它使用开源标准发布来自任何主要空间数据源的数据。
漏洞描述
近日,奇安信CERT监测到 GeoServer SQL注入漏洞(CVE-2023-25157),由于系统未对用户输入进行过滤,远程未授权攻击者可以构造特定语句绕过GeoServer的词法解析,从而实现SQL注入,成功利用此漏洞可获取敏感信息,甚至可能获取数据库服务器权限。由于GeoServer在默认配置下内置图层存放数据在文件中,则未使用外置数据库的场景不受此漏洞影响。鉴于该漏洞的POC已在互联网上公开,现实威胁上升,建议客户尽快做好自查及防护。
02 影响范围
影响版本
GeoServer 2.20.x < 2.20.7
GeoServer 2.19.x < 2.19.7
GeoServer 2.18.x < 2.18.7
GeoServer 2.21.x < 2.21.4
GeoServer 2.22.x < 2.22.2
不受影响版本
GeoServer 2.22.x >= 2.22.2
GeoServer 2.21.x >= 2.21.4
GeoServer 2.20.x >= 2.20.7
GeoServer 2.19.x >= 2.19.7
GeoServer 2.18.x >= 2.18.7
其他受影响组件
无
03 复现情况
目前,奇安信CERT已成功复现该漏洞,截图如下:
04 处置建议
安全更新
目前官方已发布新版本修复了该漏洞,可下载最新版本进行升级。
https://github.com/geoserver/geoserver/releases
缓解措施
1. 禁用 PostGIS数据存储的encode函数。
2. 启用 PostGIS 数据存储的preparedStatements设置。
05 参考资料
[1]https://github.com/advisories/GHSA-7g5f-wrx8-5ccf
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
