漏洞描述:
GeoServer JAI-EXT 是一个开源项目,旨在扩展 Java Advanced Imaging (JAI) API。允许通过网络请求提供 Jiffle 脚本的程序可以导致远程代码执行,因为 Jiffle 脚本通过 Janino 编译成 Java 代码并执行。特别是,这会影响下游的 GeoServer 项目。1.2.22 版将包含一个补丁,该补丁禁止将恶意代码注入生成的脚本。无法升级的用户可能会通过从类路径中删除 janino-xyzjar 来否定从最终应用程序编译 Jiffle 脚本的能力。
