Shiro RememberMe反序列化命令执行漏洞(CNVD-2016-06123)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2016-08-09漏洞描述
Apache Shiro是Apache软件基金会的顶级项目,在Java应用中首选的授权验证、授权、密码学和会话管理框架。 Apache Shiro的JIRA中提到Shrio中的Cookie管理存在安全漏洞。在场景合适的情况下,攻击者可以通过控制本地的Cookie内容导致Getshell,最终获取应用服务器控制权限。 该漏洞需要以下触发条件: Apache Shiro小于或等于1.2.4且使用rememberme功能 应用中使用存在Java反序列化漏洞的Jar包解决建议
该漏洞已在Apache Shrio 1.2.5以上 或 2.0.0中修复,详情请关注厂商主页或者有关网址:https://issues.apache.org/jira/browse/SHIRO-550
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2016-06123 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论