GeoTools 存在 sql 注入漏洞

墨菲安全

已于 2023-03-01 12:20:52 修改

阅读量530

点赞数

CC 4.0 BY-SA版权

分类专栏：墨菲安全实验室漏洞预警文章标签： sql 数据库

于 2023-03-01 12:12:41 首次发布

本文链接：https://blog.youkuaiyun.com/murphysec/article/details/129278700

漏洞描述

GeoTools 是一个用于处理地理空间数据（如地理信息系统: GIS）的开源代码库，并且支持 OGC 过滤器表达式语言的解析和编码。PostGIS是PostgreSQL数据库的扩展程序，增加了数据库对地理对象的支持。PostGIS DataStore 为GeoTools的数据库。

GeoTools 受影响版本由于未对用户传入的 sql 语句有效过滤从而存在 SQL 注入漏洞，当使用 OGC 过滤器（由 JDBCDataStore 实现）处理用户sql语句时，攻击者可利用此漏洞查询或修改数据库中的任意数据。

开发者可通过在 PostGIS DataStore 中禁用 encode functions 或在 PostGIS 中启用 prepared statements 缓解此漏洞。

漏洞名称	GeoTools 存在 sql 注入漏洞
漏洞类型	SQL注入
发现时间	2023/2/23
漏洞影响广度	小
MPS编号	MPS-2023-3774
CVE编号	CVE-2023-25158
CNVD编号	-

影响范围

org.geotools:gt-jdbc@[28.0, 28.2)

org.geotools:gt-jdbc@[2.6.6, 24.7)

org.geotools:gt-jdbc@[27.0, 27.4)

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

墨菲安全

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

参与评论您还未登录，请先登录后发表或查看评论

博客

Google Chrome V8＜ 13.7.120 沙箱绕过漏洞

07-28

288

Google Chrome V8<13.7.120沙箱绕过漏洞（MPS-id8s-k96g），影响V8<13.7.120、Chrome/Chromium<137.0.7137.0。因JsonParser::MakeString处理长度1的转义字符串时存在二次获取问题，致DecodeString基于过时检查结果写入2字节栈缓冲区，引发栈溢出。修复通过重构DecodeString，引入长度计数器并添加SBXCHECK_GE(length,2)校验防溢出，建议升级至V8 13.7.120+或Chrome 137.

博客

NPM组件 @ctra/utils 等窃取主机敏感信息

07-26

468

【高危】NPM组件投毒漏洞，涉及@ctra/utils等多个包（如openai-fm、airbnb-prod等），安装后会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。受影响版本无修复版本，利用成本低。建议立即排查并卸载恶意包，删除node_modules和package-lock.json后重装依赖，全面检查系统安全（如异常进程、境外IP通信），加强依赖管理（限版本范围、用官方源、定期审计）。

博客

Google Chrome V8＜ 14.0.221 类型混淆漏洞

07-23

933

CVE-2025-8011是Google Chrome V8引擎的高危类型混淆漏洞，因Maglev编译器内联逻辑缺少边界检查，内联函数过多致InliningId整数溢出，损坏SourcePosition元数据，反优化时引发类型混淆。影响V8<14.0.221、Chrome/Chromium<138.0.7204.168。修复需升级至V8 14.0.221或Chrome 138.0.7204.168及以上，通过增加内联数量上限检查防止溢出。

博客

NPM组件 @lain-test-org/test-package 等窃取主机敏感信息

07-22

879

【高危】多个NPM组件（如@lain-test-org/test-package等）存在投毒风险，安装受影响版本时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响范围包括react-type-next、pmcrypto、fxa-setting等30余个组件，部分版本跨度大（如pmcrypto [0.1.0, 99.99.99]）。漏洞利用成本低、可能性中，强烈建议立即排查移除恶意包，全面检查系统安全，加强依赖管理。

博客

NPM组件 function-flag 等内嵌恶意木马

07-20

296

【高危】NPM组件function-flag（2.3.4-4.0.0）、function-string（3.0.0）等版本存在恶意投毒。用户安装后会下载执行svchost.exe木马，导致攻击者窃取主机信息并实施远控。漏洞利用成本低、可能性中，影响使用相关组件的Node.js项目。建议立即排查移除受影响包，扫描系统异常进程及网络连接，重置敏感凭证，并加强依赖管理，仅使用官方源及成熟组件。

博客

NPM组件 function-flag 等内嵌恶意木马

07-19

404

NPM组件function-flag（2.3.4-4.0.0）、function-string（3.0.0）等版本被植入恶意木马，用户安装后会下载执行svchost.exe，导致攻击者窃取主机信息并实施远控。该漏洞高危，利用成本低、可能性中。处置建议：立即卸载受影响包，删除node_modules及package-lock.json后重装依赖；全面扫描系统排查异常进程与网络连接，重置敏感凭证；加强依赖管理，仅使用官方源，定期审计依赖。

博客

PyPI仓库 crto0 组件内嵌信息窃取木马

07-18

426

PyPI仓库crto组件1.0.7版本内嵌信息窃取木马，用户安装后会从攻击者可控Github地址下载执行恶意程序，窃取Windows系统信息（用户信息、截图、摄像头、硬盘等）、Discord账户、浏览器数据（密码、Cookie、信用卡信息等）及钱包、游戏启动器敏感数据并发送至攻击者服务器。利用成本低，建议立即移除受影响包，全面检查系统安全，加强依赖管理，仅从官方源安装组件。

博客

WPS文档中心及文档中台远程命令执行漏洞

07-18

1238

WPS文档中心（7.0.2306b至7.0.2405b前版本）及文档中台（6.0.2205至7.1.2405前版本）的2024年5月前docker私有化部署实例存在严重远程命令执行漏洞。攻击者可未授权访问接口获取AK/SK密钥，进而修改K8s配置添加路由映射，通过特定接口执行命令。利用可能性高且有POC，建议立即升级至文档中心7.0.2405b、中台7.1.2405及以上版本，同时阻断相关接口未授权访问并轮换密钥。

博客

PyPI仓库 iscc-flag 组件内嵌恶意木马

07-17

272

【高危】PyPI仓库iscc-flag（0.0.1版）及anku2-rce（0.0.1-0.0.2版）组件被植入恶意代码，安装后下载run.bat木马，窃取Windows系统敏感信息并远控。漏洞利用成本低、可能性中，建议立即排查移除受影响包，扫描系统异常进程与网络连接，重置敏感凭证，加强依赖管理，仅从官方源安装组件并定期审计依赖。

博客

Node.js Windows下路径遍历漏洞

07-17

710

Node.js Windows路径遍历高危漏洞（CVE-2025-27210）存在于Windows系统下，攻击者可利用Windows保留设备名（如AUX、CON、PRN等）绕过path.join的路径遍历保护，通过构造特殊路径（如..\\..\\AUX\\..\\..\\target.txt）访问敏感文件。受影响版本包括Node.js 20.0-20.19.3、22.0-22.17.0、24.0-24.4.0。修复版本通过添加保留设备名黑名单处理，建议升级至20.19.4、22.17.1或24.4.1及以上

博客

NPM组件 @ivy-shared-components/iconslibrary 等窃取主机敏感信息

07-16

928

【高危】多个NPM组件（如@ivy-shared-components/iconslibrary、ado-codespaces-auth等）存在投毒风险，安装时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响范围涉及多个特定版本包，利用成本低。建议立即移除受影响包，全面排查系统安全（如异常进程、敏感凭证），并加强依赖管理（限制版本范围、使用安全工具监控）。

博客

Google Chrome V8＜ 13.6.86 类型混淆漏洞

07-16

850

Google Chrome V8引擎（<13.6.86）及Chrome浏览器（<136.0.7075.0）存在高危类型混淆漏洞。因Turboshaft编译器负载消除优化忽略内存分配触发GC的副作用，重用已被GC修改的对象类型信息所致。攻击者可伪造ConsString对象触发越界写入，覆盖数组长度获取任意地址读写能力，最终实现RCE。修复版本移除LoopPeelingPhase及相关标志，建议升级V8至13.6.86+、Chrome至136.0.7075.0+。

博客

Google Chrome V8＜ 13.6.86 类型混淆漏洞

07-15

404

Google Chrome V8引擎<13.6.86存在高危类型混淆漏洞，因Turboshaft编译器负载消除优化忽略内存分配触发GC的副作用，重用被GC修改的对象类型信息。攻击者可伪造长度错误的ConsString对象，在扁平化操作时触发越界写入，覆盖数组长度实现任意地址读写，最终导致RCE。影响V8<13.6.86、Chromium/Chrome<136.0.7075.0。修复需升级至对应版本，移除LoopPeelingPhase及相关标志。

博客

契约锁电子签章系统 pdfverifier 远程代码执行漏洞

07-14

653

契约锁电子签章系统pdfverifier接口存在高危远程代码执行漏洞。该接口处理OFD文件（ZIP格式）时未校验文件名路径，攻击者可构造含../的恶意压缩包，通过路径穿越写入WebShell。2025年5月6日发布的1.3.2补丁添加路径校验机制，拦截路径穿越符号。影响版本为[4.0.0,4.3.7]及[4.3.8,5.3.0]，利用成本低、可能性极高，存在POC。建议升级至1.3.2及以上补丁版本修复。

博客

NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息

07-13

332

NPM组件投毒漏洞（MPS-8htd-4bis）影响@blocks-shared/atom-panel等超70个包，安装后窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。受影响版本含nbastatsleftnav [1.0.0,99.0.1]、casino2025 1.1.20等，多数无修复版本。利用成本低，建议立即排查卸载恶意包，删除node_modules及package-lock.json后重装依赖，扫描系统异常并重置敏感凭证，加强依赖管理。

博客

契约锁电子签章系统 pdfverifier 远程代码执行漏洞

07-13

451

契约锁电子签章系统pdfverifier接口存在高危远程代码执行漏洞。该接口处理OFD文件（ZIP格式）时未校验文件名路径合法性，攻击者可构造含../的恶意压缩包条目，解压时写入服务器任意路径，实现WebShell上传与远程代码执行。影响版本为[4.0.0,4.3.7]及[4.3.8,5.3.0]。2025年5月6日发布的1.3.2补丁引入路径校验机制，拦截含../的文件条目。漏洞利用成本低、可能性极高，存在POC，建议用户立即升级至1.3.2及以上安全补丁。

博客

NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息

07-12

511

NPM组件@blocks-shared/atom-panel等被投毒，安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响nbastatsleftnav、ltiditest等多个组件，受影响版本范围广且无最小修复版本。漏洞利用成本低、可能性中，属高危风险。建议立即排查并卸载受影响包，删除node_modules及package-lock.json后重装依赖，同时全面检查系统安全，重置敏感凭证。

博客

NPM组件 @frontend-clients/wallet-web 等窃取主机敏感信息

07-11

510

NPM组件@frontend-clients/wallet-web等存在高危投毒漏洞，安装时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响dependabot-ruleset-runner、yoomoney-github-landing等30余个组件特定版本，利用成本低，可能性中。建议立即排查并卸载受影响包，删除依赖文件后重装，全面检查系统安全，加强依赖管理规范。

博客

Chrome拓展 Video Speed Controller 等内嵌恶意后门

07-10

876

【高危】多款Chrome拓展（含Video Speed Controller相关）被植入恶意后门，可窃取用户浏览链接，与攻击者C2服务器建立持久连接，并强制浏览器重定向至恶意网站。受影响拓展涉及多个ID版本（如eckokfcjbjbgjifpcbdmengnabecdakp≤1.0.11等），利用成本低，风险等级高。建议立即排查并移除受影响拓展，全面检查系统安全。

博客

泛微e-cology ＜ 10.76 前台SQL注入漏洞

07-10

703

泛微e-cology <10.76版本存在高危前台SQL注入漏洞。攻击者可未授权通过/api/doc/out/more/list接口注入恶意SQL至Redis，再经/api/ec/dev/table/counts接口执行，导致未授权SQL注入，可能进一步写入Webshell实现远程代码执行。影响版本为(-∞,10.76)，建议立即升级至10.76及以上版本。应急可通过WAF阻断涉事接口、加强参数校验、限制Redis访问缓解风险。