Apache Shiro 默认密钥致命令执行漏洞

风险描述

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。其部分旧版本在处理rememberMe这个Cookie时，使用了默认密钥进行数据加密，存在反序列化漏洞，攻击者可以通过构造特殊请求实现远程控制服务器。

漏洞详情：https://avd.aliyun.com/detail/CVE-2016-4437

修复建议

1、升级shiro至最新版本。2、修改shiro加密密钥。修复验证。在完成配置修改后，前往安全管控-安全体检，重新检测漏洞，确认是否成功修复。

3、修复验证。在完成配置修改后，前往安全管控-安全体检，重新检测漏洞，确认是否成功修复。

若您在修复过程中遇到任何困难或有其他相关疑问，可前往安全管控，在更多安全服务板块点击提交工单，联系技术工程师获取支持。