Apache Shiro 信息泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1148122 漏洞类型 Design Error
发布时间 2016-06-03 更新时间 2016-10-26
CVE编号 CVE-2016-4437 CNNVD-ID CNNVD-201606-143
漏洞平台 N/A CVSS评分 6.8
|漏洞来源
https://www.securityfocus.com/bid/91024
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201606-143
|漏洞详情
Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 Apache Shiro 1.2.5之前版本中存在安全漏洞。当程序没有为remember功能配置加密密钥时,远程攻击者可借助请求参数利用该漏洞执行任意代码,或绕过既定的访问限制。
|受影响的产品
Redhat JBoss Fuse 6.2 Redhat JBoss Fuse 6.1.0 Redhat JBoss Fuse 6.0.0
|参考资料

来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/538570/100/0/threaded
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/137310/Apache-Shiro-1.2.4-Information-Disclosure.html
来源:www.openwall.com
链接:http://www.openwall.com/lists/oss-security/2016/06/03/6