Apache Shiro是Apache软件基金会的顶级项目,在Java应用中首选的授权验证、授权、密码学和会话管理框架。
Apache Shiro的JIRA中提到Shrio中的Cookie管理存在安全漏洞。在场景合适的情况下,攻击者可以通过控制本地的Cookie内容导致Getshell,最终获取应用服务器控制权限。
该漏洞需要以下触发条件:
Apache Shiro小于或等于1.2.4且使用rememberme功能
应用中使用存在Java反序列化漏洞的Jar包
该漏洞已在Apache Shrio 1.2.5以上 或 2.0.0中修复,详情请关注厂商主页或者有关网址:
https://issues.apache.org/jira/browse/SHIRO-550