CVE-2024-36404 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:GeoTools 库在处理用户输入的 XPath 表达式时存在安全缺陷。 💥 **后果**:攻击者可利用此漏洞实现 **远程代码执行 (RCE)**,直接控制服务器。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-95 ( improper neutralization of special elements in code)。 📍 **缺陷点**:应用程序若使用 GeoTools 功能评估 **用户提供的 XPath 表达式**,即触发漏洞。
Q3影响谁?(版本/组件)
📦 **组件**:GeoTools (开源 Java 地理空间数据工具库)。 📅 **受影响版本**:31.2 之前、30.4 之前、29.6 之前的所有版本。
Q4黑客能干啥?(权限/数据)
👑 **权限**:攻击者可获得 **最高权限** (CVSS A:H)。 📊 **影响**:完全破坏 **机密性** (C:H) 和 **完整性** (I:H),系统完全沦陷。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:极低。 🌐 **网络**:AV:N (网络可利用)。 🔑 **认证**:PR:N (无需认证)。 👀 **交互**:UI:N (无需用户交互)。 🎯 **复杂度**:AC:L (低复杂度)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **PoC**:有现成模板。 🔗 **来源**:ProjectDiscovery nuclei-templates (CVE-2024-36404.yaml)。 ⚠️ **在野**:数据未明确提及在野利用,但 PoC 已公开,风险极高。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 Java 应用中是否引入 GeoTools 库。 📝 **特征**:确认代码中是否使用 GeoTools 功能处理 **外部输入的 XPath 表达式**。 🛠 **工具**:使用 Nuclei 扫描模板进行检测。
Q8官方修了吗?(补丁/缓解)
✅ **官方修复**:已发布补丁。 🆕 **安全版本**:升级至 **31.2**、**30.4** 或 **29.6** 及以上版本。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**:移除应用中的 `gt-complex` jar 包。 ⚠️ **代价**:功能降级,如 `datastore` 应用模式将无法使用 XPath 查询复杂内容。 📦 **替代方案**:从 SourceForge 下载特定旧版本的 patch jar (如 31.1, 30.3 等)。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 📉 **CVSS**:9.8 (极高危)。 🚀 **建议**:立即升级至安全版本或实施临时规避措施,防止 RCE 发生。