漏洞描述
GeoTools 是一个用于处理地理空间数据(如地理信息系统: GIS)的开源代码库,并且支持 OGC 过滤器表达式语言的解析和编码。PostGIS是PostgreSQL数据库的扩展程序,增加了数据库对地理对象的支持。PostGIS DataStore 为GeoTools的数据库。
GeoTools 受影响版本由于未对用户传入的 sql 语句有效过滤从而存在 SQL 注入漏洞,当使用 OGC 过滤器(由 JDBCDataStore 实现)处理用户sql语句时,攻击者可利用此漏洞查询或修改数据库中的任意数据。
开发者可通过在 PostGIS DataStore 中禁用 encode functions 或在 PostGIS 中启用 prepared statements 缓解此漏洞。
| 漏洞名称 | GeoTools 存在 sql 注入漏洞 |
|---|---|
| 漏洞类型 | SQL注入 |
| 发现时间 | 2023/2/23 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-2023-3774 |
| CVE编号 | CVE-2023-25158 |
| CNVD编号 | - |
影响范围
org.geotools:gt-jdbc@[28.0, 28.2)
org.geotools:gt-jdbc@[2.6.6, 24.7)
org.geotools:gt-jdbc@[27.0, 27.4)
org.geotools:gt-jdbc@[25.0, 25.7)
org.geotools:gt-jdbc@[26.0, 26.7)
修复方案
升级org.geotools:gt-jdbc到 24.7 或 25.7 或 26.7 或 27.4 或 28.2 或更高版本
在 PostGIS DataStore 中禁用 encode functions 或在 PostGIS 中启用 prepared statements
参考链接
https://www.oscs1024.com/hd/MPS-2023-3774
https://nvd.nist.gov/vuln/detail/CVE-2023-25158
https://github.com/advisories/GHSA-99c3-qc2q-p94m
https://github.com/geotools/geotools/commit/64fb4c47f43ca818c2fe96a94651bff1b3b3ed2b
关于墨菲安全
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
官网地址:https://www.murphysec.com/?sf=qbyj
开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj
