漏洞关键信息总结 漏洞概述 类型: 远程代码执行 (RCE) 描述: 由于不安全地评估属性表达式,未授权用户可以通过专门设计的输入在默认的GeoServer实例上执行远程代码。 CVSS评分: 9.8/10 CVE ID: CVE-2024-36401 CWE: CWE-95 影响版本 org.geoserver.web:gs-web-app - 受影响版本: >= 2.24.0, = 2.25.0, = 2.23.0, < 2.23.6 - 已修复版本: 2.23.6 - 受影响版本: < 2.22.6 - 已修复版本: 2.22.6 org.geoserver:gs-wfs - 受影响版本及已修复版本与 相同 org.geoserver:gs-wms - 受影响版本及已修复版本与 相同 监理与解决方案 修复建议: 移除 gt-complex-x.y.jar 文件或替换为修复版的三个jar文件。 部署war文件: 按照指导文档停止、解压、替换jar文件、重新打包、重启服务。 GeoServer二进制文件: 停止Jetty,移除gt-complex-x.y.jar文件,重启Jetty。 扩展与社区模块: 知识点列表指出依赖 gt-complex jar 的模块。 额外资源 提供了修补三个jar文件的下载链接和说明书,适用于不同版本的GeoServer用户。