close
01 漏洞概況
近日,微步在線捕獲到 Apache Shiro 身份認證繞過漏洞 0day 相關漏洞情報,攻擊者可以通過構造惡意數據包繞過身份認證,導致配置的權限驗證失效。Apache Shiro 是一個功能強大且易於使用的 Java 安全框架,可執行身份驗證、授權、加密和會話管理,藉助 Shiro 易於理解的 API,用戶可以快速、輕鬆地保護任何應用程序。
Apache Shiro
是否受影響
< 1.9.1
是
>= 1.9.1
否
02 漏洞評估
公開程度:PoC已公開
利用條件:無權限要求
交互要求:0-click
漏洞危害:高危、權限繞過
影響範圍:Apache Shiro < 1.9.1
03 檢測修複方案
1. 官方修復緩解措施
目前 Apache 官方已發布此漏洞修復版本,建議用戶儘快升級至 Apache Shiro 1.9.1 及以上版本參考鏈接:https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1
2. 受影響資產排查
微步在線主機威脅檢測與響應平台 OneEDR 已集成相關漏洞及資產探測能力,能全面及時幫助用戶發現受影響的資產信息:
04 時間線
2022.06.29 微步捕獲該漏洞相關情報
2022.06.29 微步在線主機威脅檢測與響應平台OneEDR已集成相關漏洞及資產探測能力2022.06.30 微步情報局發布漏洞通告
第一時間為您推送最新威脅情報
全站熱搜
留言列表