PT-2022-8600 · Apache · Apache Shiro
Publicado
2022-04-05
·
Atualizado
2022-04-13
·
CVE-2020-19229
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Jeesite versão 1.2.7
Descrição
O problema está relacionado ao uso de uma versão afetada do Apache Shiro, que contém uma vulnerabilidade de deserialização do Java. Essa vulnerabilidade pode ser explorada por um invasor para executar comandos arbitrários por meio do parâmetro
rememberMe.Recomendações
Para o Jeesite versão 1.2.7, considere atualizar o Apache Shiro para uma versão que não seja afetada pela vulnerabilidade de deserialização do Java. Como solução temporária, restrinja o acesso ao parâmetro
rememberMe para minimizar o risco de exploração.Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Shiro