近日,国家信息安全漏洞共享平台(CNVD)公布了深信服终端检测平台(EDR)远程命令执行高危漏洞,攻击者利用该漏洞可远程执行系统命令,获得目标服务器的权限。
一、漏洞情况
Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。由于shiro在处理url时与spring存在差异,处理身份验证请求时出错导致存在身份校验绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。
二、影响范围
Apache Shiro < 1.6.0。
三、处置建议
Apache Shiro官方已发布最新版本,请广大用户立即参考附件链接进行更新修复。
附件:参考链接:
https://shiro.apache.org/security-reports.html