Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
jeesite使用了apache shiro组件,其版本为1.2.3。 因apache shiro该版本存在java反序列化漏洞,攻击者可构造恶意数据包执行任意命令,从而拿下服务器权限。 以公网某网站为例:(参考:http://blog.knownsec.com/2016/08/apache-shiro-java/) 从上图可以看到,我们利用脚本执行命令即可反弹拿到该网站对应ip服务器的命令执行权限,危害巨大。
jeesite
apache shiro
由于使用该框架的网站众多,致使大量网站存在严重安全隐患。请尽快修复并提示用户进行升级修复该漏洞。
升级 Shiro 版本至 1.2.5 以上。
The text was updated successfully, but these errors were encountered:
谢谢反馈已升级
Sorry, something went wrong.
@seedis 师傅好,请问你的Exploit是自己写的么?
No branches or pull requests
jeesite 远程命令执行漏洞(Remote command execution vulnerability)
漏洞利用过程
jeesite使用了apache shiro组件,其版本为1.2.3。因apache shiro该版本存在java反序列化漏洞,攻击者可构造恶意数据包执行任意命令,从而拿下服务器权限。
以公网某网站为例:(参考:http://blog.knownsec.com/2016/08/apache-shiro-java/)
从上图可以看到,我们利用脚本执行命令即可反弹拿到该网站对应ip服务器的命令执行权限,危害巨大。
由于使用该框架的网站众多,致使大量网站存在严重安全隐患。请尽快修复并提示用户进行升级修复该漏洞。
修复建议
升级 Shiro 版本至 1.2.5 以上。
The text was updated successfully, but these errors were encountered: