GeoServer property 表达式注入代码执行漏洞（CVE-2024-36401）

[foyaga]

• 漏洞编号: CVE-2024-36401
• 危害等级: 高危
• 漏洞标签:
• 披露日期: 2024-07-02
• 信息来源: https://avd.aliyun.com/detail?id=AVD-2024-36401
• 推送原因: 漏洞创建

漏洞描述：

GeoServer是一个功能齐全,遵循OGC开放标准的开源WFS-T和WMS服务器。CVE-2024-36401 中，攻击者可构造恶意请求执行任意java代码，控制服务器。

参考链接：

1. GHSA-6jj6-gm7p-fcvv
2. [GEOT-7587] Improve handling of XPath expressions geotools/geotools#4797
3. GHSA-w3pj-wh35-fq8w
4. https://github.com/Warxim/CVE-2022-41852?tab=readme-ov-file#workaround-for-cve-2022-41852
5. https://osgeo-org.atlassian.net/browse/GEOT-7587