环球热讯:GeoServer SQL注入漏洞 (CVE-2023-25157) 安全风险通告

（注：奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节，订阅方式见文末。）

01漏洞详情

影响组件

GeoServer是一个用Java编写的开源服务器，它允许用户共享、处理和编辑地理空间数据。为了互操作性而设计，它使用开源标准发布来自任何主要空间数据源的数据。

漏洞描述

近日，奇安信CERT监测到GeoServer SQL注入漏洞(CVE-2023-25157)，由于系统未对用户输入进行过滤，远程未授权攻击者可以构造特定语句绕过GeoServer的词法解析，从而实现SQL注入，成功利用此漏洞可获取敏感信息，甚至可能获取数据库服务器权限。由于GeoServer在默认配置下内置图层存放数据在文件中，则未使用外置数据库的场景不受此漏洞影响。鉴于该漏洞的POC已在互联网上公开，现实威胁上升，建议客户尽快做好自查及防护。

02影响范围

影响版本

GeoServer 2.20.x < 2.20.7

GeoServer 2.19.x < 2.19.7

GeoServer 2.18.x < 2.18.7

GeoServer 2.21.x < 2.21.4

GeoServer 2.22.x < 2.22.2

不受影响版本

GeoServer 2.22.x >= 2.22.2

GeoServer 2.21.x >= 2.21.4

GeoServer 2.20.x >= 2.20.7

GeoServer 2.19.x >= 2.19.7

GeoServer 2.18.x >= 2.18.7

其他受影响组件

无

03复现情况

目前，奇安信CERT已成功复现该漏洞，截图如下：

04处置建议

安全更新

目前官方已发布新版本修复了该漏洞，可下载最新版本进行升级。

https://github.com/geoserver/geoserver/releases

缓解措施

1. 禁用 PostGIS数据存储的encode函数。

2. 启用 PostGIS 数据存储的preparedStatements设置。

05参考资料

[1]https://github.com/advisories/GHSA-7g5f-wrx8-5ccf

标签：