主题 : jeecmsv9.3版的shiro的反序列化漏洞问题 |
级别: 解元
|
3# 发表于:2019-11-07 16:51:57 IP:223.179.*.*
我们也是在攻防演练中被发现了这个问题,被人直接通过这个漏洞拿到服务器权限,官方不能只是想着开发x1赚钱,以往的版本不升级
|
||
---|---|---|---|
级别: 解元
|
4# 发表于:2019-11-07 16:53:40 IP:223.179.*.*
回复第2楼
|
||
---|---|---|---|
级别: 童生
|
7# 发表于:2019-11-18 17:15:48 IP:39.234.*.*
把web-inf\config\shiro-context.xml最底下rememberMe管理器中的cipherKey后面decode括号里的BASE64的码自己换一个生成一遍可能修复这个漏洞
|
||
---|---|---|---|
级别: 白丁
|
9# 发表于:2020-12-10 22:10:37 IP:121.158.*.*
回复第8楼
我们也遇到这个问题,两个月前就是改了shiro-content.xml中的密钥,现在又被扫描出来, 安防建议我们升级shiro版本,如何升级? cms版本v9.3 |
||
---|---|---|---|
1
共1页