【漏洞通告】Apache Shiro身份验证绕过漏洞（CVE-2023-34478）

2023年7月24日14:58:32评论381 views字数 1000阅读3分20秒阅读模式

一、漏洞概述

CVE ID	CVE-2023-34478	发现时间	2023-07-24
类型	身份验证绕过	等级	高危
攻击向量	网络	所需权限	无
攻击复杂度	低	用户交互	无
PoC/EXP	未公开	在野利用	未发现

Apache Shiro是一个强大且易用的Java安全框架，它具有身份验证、访问授权、数据加密、会话管理等功能。

7月24日，启明星辰VSRC监测到Apache Shiro中修复了一个身份验证绕过漏洞（CVE-2023-34478）。

Apache Shiro版本1.12.0之前和2.0.0-alpha-3 之前容易受到路径遍历攻击，当与基于非规范化请求路由请求的API或其他web框架一起使用时，可能导致身份验证绕过。

二、影响范围

Apache Shiro版本 < 1.12.0

Apache Shiro版本 < 2.0.0-alpha-3

三、安全措施

3.1 升级版本

目前该漏洞已经修复，受影响用户可升级到以下版本：

Apache Shiro版本 >= 1.12.0

Apache Shiro版本 >= 2.0.0-alpha-3

下载链接：

https://github.com/apache/shiro/tags

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://www.mail-archive.com/[email protected]/msg08364.html

https://nvd.nist.gov/vuln/detail/CVE-2023-34478

https://github.com/apache/shiro-site/blob/3c5fbdbb8a7ea56b505a723da5df786d1c69273f/src/site/content/blog/2023/07/18/apache-shiro-1120-released.adoc#L20

原文始发于微信公众号（维他命安全）：【漏洞通告】Apache Shiro身份验证绕过漏洞（CVE-2023-34478）

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞通告】Apache Shiro身份验证绕过漏洞（CVE-2023-34478）

二、影响范围

三、安全措施

3.1 升级版本

3.2 临时措施

3.3 通用建议

3.4 参考链接

【漏洞预警】Next.js < 14.1.1 Server Actions SSRF漏洞

CVE-2024-29269 RCE漏洞（附EXP）

CVE-2024-21006 Oracle WebLogic Server RCE POC

【漏洞预警】OpenMetadata SPEL注入漏洞 (CVE-2024-28847)

叮～你有新的速递！CNVD-2024-02175 RCE漏洞（附EXP）

漏洞复现 | 图书馆集群管理系统interlib updOpuserPw SQL注入漏洞【附poc】

【高危漏洞】锐捷统一上网行为管理与审计系统存在命令执行漏洞

CVE-2024-32399｜RaidenMAILD Mail Server路径遍历漏洞（POC）

CVE-2024-34351｜Next.js框架存在SSRF漏洞

CVE-2024-21793｜F5 BIG-IP Next Central Manager存在多个安全漏洞（POC）

发表评论

在线咨询

微信