关键漏洞信息 漏洞名称 Improper ENTITY_RESOLUTION_ALLOWLIST URI validation in XML Processing (SSRF) 影响版本 org.geoserver.main:gs-main (Maven): <2.25.0 org.geoserver.web:gs-web-app:war (Maven): <2.25.0 修复版本 org.geoserver.main:gs-main (Maven): 2.25.0 org.geoserver.web:gs-web-app:war (Maven): 2.25.0 漏洞描述 存在一个不正确的URI验证漏洞,允许未经授权的攻击者执行XML外部实体(XEE)攻击,然后向任何HTTP服务器发送GET请求。攻击者可以利用这一点扫描内部网络并获取有关它们的信息,然后进一步利用。此外,攻击者可以读取系统上有限的.xsd文件。 影响 未经授权的攻击者可以: 1. 扫描内部网络以获取有关它的信息并进一步利用。 2. 向以.xsd结尾的端点发起SSRF。 3. 读取系统上的有限.xsd文件。 缓解措施 1. 定义系统属性ENTITY_RESOLUTION_ALLOWLIST以限制支持的外部模式位置。 2. 内置允许列表涵盖了OGC Web服务操作所需的位置:www.w3.org, schemas.opengis.net, www.opengis.net, inspire.ec.europa.eu/schemas。 3. 用户指南提供了如何添加其他位置的详细信息(这是在应用程序模式插件中需要定义输出格式的地方)。 解决方案 1. GeoServer 2.25.0及更高版本默认使用ENTITY_RESOLUTION_ALLOWLIST,并且不需要您提供系统属性。 2. 如果需要支持内置允许列表之外的其他模式位置,则仍然支持使用ENTITY_RESOLUTION_ALLOWLIST。 3. GeoServer 2.25.1更改了ENTITY_RESOLUTION_ALLOWLIST,不再支持正则表达式。 CVSS评分 严重性:中等(6.5/10) 攻击向量:网络 攻击复杂度:低 所需权限:无 用户交互:无 范围:不变 机密性:低 完整性:无 可用性:低 CVE ID CVE-2024-34711 弱点 CWE-20 CWE-200 CWE-611 CWE-918 报告者 lemauanhphong jodygarnett