美国网络安全和基础设施安全局 （CISA） 在其已知利用漏洞 （KEV） 目录中添加了一个 OSGeo GeoServer GeoTools 评估注入漏洞，该漏洞被跟踪为 CVE-2024-36401（CVSS 评分为 9.8）。

GeoServer 是一个开源服务器，允许用户共享和编辑地理空间数据。

低于 2.23.6、2.24.4 和 2.25.2 的 GeoServer 版本容易受到远程代码执行 （RCE） 的影响，因为将属性名称评估为 XPath 表达式不安全。出现此问题的原因是 GeoServer 使用的 GeoTools 库 API 评估要素类型的属性/属性名称的方式会不安全地将其传递到 commons-jxpath 库，从而允许执行任意代码。该漏洞会影响所有GeoServer实例，因为它错误地将XPath评估应用于简单要素类型。攻击者可以通过各种请求（如 WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic 和 WPS Execute 请求）来利用此漏洞。该漏洞已在版本 2.23.6、2.24.4 和 2.25 中得到解决。该公告还提供了一种解决方法，包括从 GeoServer 中删除文件（其中代表 GeoTools 版本），尽管这可能会破坏某些功能或在需要模块时阻止部署。gt-complex-x.y.jarx.y

根据约束性操作指令 （BOD） 22-01：降低已知利用漏洞的重大风险，FCEB 机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中缺陷的攻击。

专家还建议私人组织审查目录并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2024 年 8 月 5 日之前修复此漏洞。