Apache Shiro開放重定向漏洞威脅通告

1.  通告信息

近日，安識科技A-Team團隊監測到Apache Shiro中修復了一個開放重定向漏洞（CVE-2023-46750）。

對此，安識科技建議廣大用戶及時升級到安全版本，并做好資產自查以及預防工作，以免遭受黑客攻擊。

2. 漏洞概述

簡述：Apache Shiro是一個功能強大且易于使用的 Java 安全框架，可以執行身份驗證、授權、加密和會話管理。

漏洞名稱：Apache Shiro開放重定向漏洞

CVE編號：CVE-2023-46750

Apache Shiro受影響版本中，當使用表單（form）身份驗證時，存在開放重定向漏洞，可利用該漏洞將受害者的URL重定向到惡意站點，成功利用該漏洞可能導致網絡釣魚、竊取用戶敏感信息等。

 3. 漏洞危害

該漏洞存在將受害者的URL重定向到惡意站點，成功利用該漏洞可能導致網絡釣魚、竊取用戶敏感信息等。

 4. 影響版本

受影響的Apache Shiro版本：

Apache Shiro < 1.13.0

 5. 解決方案

目前該漏洞已經修復，受影響用戶可升級到以下版本：

Apache Shiro >= 1.13.0

Apache Shiro >= 2.0.0-alpha-4

下載鏈接：

https://github.com/apache/shiro/releases

  6. 時間軸

【-】2023年11月12日 安識科技A-Team團隊監測到漏洞公布信息

【-】2023年11月13日 安識科技A-Team團隊根據漏洞信息分析

【-】2023年11月14日 安識科技A-Team團隊發布安全通告