【安全通报】Apache Shiro 身份验证绕过漏洞(CVE-2021-413...
2021-09-19 02:11:40 Author: nosec.org(查看原文) 阅读量:74 收藏

20210918164835.png

近日,Apache Shiro被披露出身份验证绕过漏洞,攻击者使用特制的 HTTP 请求可进行身份验证绕过。

漏洞描述

Apache Shiro是阿帕奇(Apache)基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。

CVE-2021-41303

在 Spring Boot 中使用1.8.0 之前 Apache Shiro 时,特制的 HTTP 请求将导致身份验证绕过漏洞。

该漏洞危害等级:高危

CVE 编号

CVE-2021-41303

FOFA 查询

app="APACHE-Shiro"

影响范围

Apache Shiro < 1.8.0

修复版本:Apache Shiro 1.8.0

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="APACHE-Shiro")共有 15,613 个相关服务对外开放。中国使用数量最多,共有 13,992 个;新加坡第二,共有 597 个;美国第三,共有 324 个;中国香港第四,共有 303 个;印度第五,共有 46 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

20210918164942.png

中国大陆地区广东使用数量最多,共有 391 个;山东第二,共有 341 个;北京第三,共有 285 个;江苏第四,共有 234 个;上海第五,共有 199 个。

9a05c5f08d94ba2e6366780f690dfbd.png

Vulfocus 靶场环境

目前 Vulfocus 已经集成 Apache Shiro 环境,可通过

docker pull vulfocus/shiro-cve_2020_1957:latest
docker pull vulfocus/shiro-cve_2020_11989:latest

进行拉取运行,也可通过 http://vulfocus.fofa.so/ 进行测试。

20210918165102.png

修复建议

及时升级至最新安全版本:https://shiro.apache.org/download.html

参考

[1] https://lists.apache.org/thread.html/re470be1ffea44bca28ccb0e67a4cf5d744e2d2b981d00fdbbf5abc13%40%3Cannounce.shiro.apache.org%3E

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。


文章来源: https://nosec.org/home/detail/4867.html
如有侵权请联系:admin#unsafe.sh