漏洞公告
近日,安恒信息CERT监测到Apache Shiro存在身份验证绕过漏洞(CVE-2023-34478),目前技术细节及PoC未公开 ,在1.12.0和2.0.0-alpha-3版本之前,Apache Shiro可能容易受到路径遍历攻击,当与基于非规范化请求路由请求的API或其他web框架一起使用时,会导致身份验证绕过。
中央研究院已复现此漏洞。
Apache Shiro存在身份验证绕过漏洞复现截图
漏洞信息
Apache Shiro是一个功能强大且灵活的Java安全框架,用于在Java应用程序中提供安全认证、授权、加密、会话管理等功能。
漏洞标题 | Apache Shiro存在身份验证绕过漏洞 |
||
应急响应等级 | 3级 | ||
漏洞类型 | 身份验证绕过 | ||
影响目标 | 影响厂商 | Apache | |
影响产品 | Apache Shiro | ||
影响版本 | (-∞, 1.12.0),(-∞, 2.0.0-alpha-3) | ||
安全版本 | [1.12.0,+∞),[2.0.0-alpha-3,+∞) | ||
漏洞编号 | CVE编号 | CVE-2023-34478 |
|
CNVD编号 | 未分配 | ||
CNNVD编号 | 未分配 | ||
安恒CERT编号 | DM-202306-000491 | ||
漏洞标签 | WEB应用,开发框架 | ||
CVSS3.1评分 | 9.8(安恒自评) | 危害等级 | 严重 |
CVSS向量 | 访问途径(AV) | 网络 | |
攻击复杂度(AC) | 低 | ||
所需权限(PR) | 无需任何权限 | ||
用户交互(UI) | 不需要用户交互 | ||
影响范围(S) | 不变 | ||
机密性影响(C) | 高 | ||
完整性影响(I) | 高 | ||
可用性影响(A) | 高 | ||
威胁状态 | Poc情况 | 未发现 |
|
Exp情况 | 未发现 | ||
在野利用 | 未发现 | ||
研究情况 | 已复现 | ||
舆情热度 | 公众号 | 低 | |
低 | |||
微博 | 低 |
该产品主要使用客户行业分布为广泛,漏洞危害性高,建议客户尽快做好自查及防护。
修复方案
官方修复方案:
官方已发布修复方案,受影响的用户建议更新至安全版本1.12.0及以上,2.0.0-alpha-3及以上
https://shiro.apache.org/download.html
临时缓解措施:
非必要不建议将该系统暴露在公网
参考资料
https://lists.apache.org/thread/mbv26onkgw9o35rldh7vmq11wpv2t2qk
http://www.openwall.com/lists/oss-security/2023/07/24/4
技术支持
如有漏洞相关需求支持请联系400-6777-677获取相关能力支撑
安恒信息CERT
2023年7月
原文始发于微信公众号(安恒信息CERT):【风险通告】Apache Shiro存在身份验证绕过漏洞(CVE-2023-34478)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论