GeoServer SQL注入漏洞(CVE-2023-25157)
基本信息
- 预警日期:2023-6-8
- 预警文章链接:https://mp.weixin.qq.com/s/0cjF150jP5hweX-Wnp_u3Q
漏洞描述
GeoServer在预览图层的时候,可以对图层进行数据过滤从而渲染出指定位置的图层。由于未对用户输入进行过滤,在使用需要以数据库作为数据存储的功能时,攻击者可以构造畸形的过滤语法,绕过GeoServer的词法解析从而造成SQL注入,获取服务器中的敏感信息,甚至可能获取数据库服务器权限。
经过深入分析,长亭应急响应实验室发现,默认情况下GeoServer内置图层并不会使用数据库作为存储方式,而是将数据存放在文件中,所以不受该漏洞的影响。而使用该系统创建自定义图层并使用外置数据库后,就会导致相应的功能存在SQL注入漏洞。
检测工具
X-POC远程检测工具
检测方法:
xpoc -r 101 -t 扫描目标URL
工具获取方式:
https://github.com/chaitin/xpoc
https://stack.chaitin.com/tool/detail?id=1036
牧云本地检测工具
检测方法:
在本地主机上执行以下命令即可无害化扫描:
./geoserver_sqli_cve_2023_25157_scanner_linux_amd64 scan --output result.json工具获取方式:
https://stack.chaitin.com/tool/detail?id=1175
影响范围
GeoServer < 2.21.4、2.22.0 <= GeoServer < 2.22.2
使用外置数据库创建自定义图层
解决方案
临时缓解方案
由于该漏洞涉及到多个功能,不同的功能涉及到的数据库操作并不一致,有一些漏洞触发点的缓解措施需要禁用数据库数据存储。因此在未确认不影响业务的前提下,禁用数据库并不是完全可行的方案。
同时作为限制攻击面的好习惯,对于用于连接池的数据库账户,赋予其最小必要的权限级别是非常重要的。
升级修复方案
官方已发布新版本修复了该漏洞,可下载参考链接中的最新版本进行升级。
长亭支持检测产品
| 产品名称 | 支持说明 | 引擎版本 | 下载链接 |
| 雷池 | 默认支持该漏洞检测。 | ||
| 谛听 | |||
| 洞鉴 | 预计6月9日前发布漏洞检测升级包。 | ||
| 牧云 | 默认支持对应资产的采集,漏洞匹配升级包(VULN-23.06.004)已经在升级平台上发布。 | VULN-23.06.004 | https://bbs.chaitin.cn/kb/437 |
| 全悉 | 默认支持该漏洞检测。 | ||
| 云图 | 默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。 |
产品受影响及处置方案
| 产品名称 | 受影响说明 | 应急处置方法 | 正式处置方法 |
| 雷池 | 无 | ||
| 谛听 | 无 | ||
| 牧云 | 无 | ||
| 洞鉴 | 无 | ||
| 万象 | 无 |
