Apache Shiro 默认密钥致命令执行漏洞

来自:吾爱编程
时间:2020-10-23
阅读:

1、漏洞描述:

    Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、密码学和会话管理。在Apache Shiro部分旧版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中,攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。

2、漏洞特征:

远程代码执行

3、修复建议:

    升级shiro到1.2.5及以上。

    若在配置里配置了默认密钥,则立即修改,并妥善保管该密钥。

返回顶部
顶部