阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
应用程序
CVE-2023-46750
低危
Apache Shiro FORM 重定向漏洞(CVE-2023-46750)
CVE编号
CVE-2023-46750
利用情况
暂无
补丁情况
官方补丁
披露时间
2023-11-12
漏洞描述
Apache Shiro 是一个开源的Java安全框架,用于简化应用程序的身份验证、授权、加密和会话管理等安全相关的操作。
在受影响版本中,由于在FORM身份验证中没有对认证后重定向的页面做验证,攻击者可以构造恶意的URL,使得用户重定向到恶意的URL地址。
影响范围:
org.apache.shiro:shiro-web@[1.0.0-incubating, 1.13.0)
org.apache.shiro:shiro-web@[2.0.0-alpha-1, 2.0.0-alpha-4)
解决建议
将组件 org.apache.shiro:shiro-web 升级至 1.13.0 及以上版本
将组件 org.apache.shiro:shiro-web 升级至 2.0.0-alpha-4 及以上版本
参考链接
https://lists.apache.org/thread/hoc9zdyzmmrfj1zhctsvvtx844tcq6w9
https://lists.apache.org/thread/x6obwokhs84p9m1fhz11qc8fxxkt80ln
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
apache
shiro
*
Up to
(excluding)
1.13.0
运行在以下环境
应用
apache
shiro
2.0.0
-
阿里云评分
3.6
攻击路径
远程
攻击复杂度
容易
权限要求
无需权限
影响范围
有限影响
EXP成熟度
未验证
补丁情况
官方补丁
数据保密性
无影响
数据完整性
无影响
服务器危害
无影响
全网数量
N/A
CWE-ID
漏洞类型
CWE-601
指向未可信站点的URL重定向(开放重定向)
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×