1、漏洞描述:
Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、密码学和会话管理。在Apache Shiro部分旧版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中,攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
2、漏洞特征:
远程代码执行
3、修复建议:
升级shiro到1.2.5及以上。
若在配置里配置了默认密钥,则立即修改,并妥善保管该密钥。