主题 : jeecmsv9.3版的shiro的反序列化漏洞,请尽快修复
级别: 解元
UID: 45406
积分:218 加为好友
威望: 1 精华: 0
主题:23 回复:140
注册时间:2013-03-26
在线时长:0
1#   发表于:2019-11-08 10:02:01  IP:223.179.*.*
显示全部 只看该作者
在攻防演练中,攻击者利用 jeecmsv9.3版的shiro的反序列化漏洞成功取得了服务器的权限任意上传,因为这个漏洞我们也被通报了!

不要再问是哪个版本了,是jeecmsv9.3!jeecmsv9.3!jeecmsv9.3

我也百度了下,很多框架的开发者都是复制别人的代码,导致1.2.4版本以上shiro一样有反序列化漏洞!


请官方重视下!别只想着赚钱,重大漏洞要修复下!谢谢!!
使用道具
   顶端
级别: 版主
UID: 121385
积分:34048 加为好友
威望: 0 精华: 0
主题:0 回复:32073
注册时间:2018-03-20
在线时长:0
2#   发表于:2019-11-08 10:12:43  IP:117.69.*.*
显示全部 只看该作者
http://bbs.jeecms.com/azsy/48500.jhtml
您有试过有这个修复吗?
世间没有一种具有真正价值的东西,可以不经过艰苦辛勤劳动而能够得到的。
使用道具
   顶端
级别: 解元
UID: 45406
积分:218 加为好友
威望: 1 精华: 0
主题:23 回复:140
注册时间:2013-03-26
在线时长:0
3#   发表于:2019-11-08 11:00:37  IP:223.179.*.*
显示全部 只看该作者
回复第2楼 v9.3版本的shiro已经是1.4.0了,你发这个帖子的版本是1.2.6的,很明显就是你们开发框架的时候出现的问题,麻烦提交给技术让尽快修复,而不是机械的回答应付人!!!!!!!!!!!!!!!!
使用道具
   顶端
级别: 版主
UID: 121385
积分:34048 加为好友
威望: 0 精华: 0
主题:0 回复:32073
注册时间:2018-03-20
在线时长:0
4#   发表于:2019-11-08 11:02:55  IP:117.69.*.*
显示全部 只看该作者
那您可以发下您的漏洞扫描信息的原文件吗?
世间没有一种具有真正价值的东西,可以不经过艰苦辛勤劳动而能够得到的。
使用道具
   顶端
级别: 童生
UID: 132255
积分:13 加为好友
威望: 0 精华: 0
主题:1 回复:4
注册时间:2019-11-18
在线时长:0
5#   发表于:2019-11-18 17:16:16  IP:39.234.*.*
显示全部 只看该作者
把web-inf\config\shiro-context.xml最底下rememberMe管理器中的cipherKey后面decode括号里的BASE64的码自己换一个生成一遍可能修复这个漏洞
使用道具
   顶端
级别: 版主
UID: 121385
积分:34048 加为好友
威望: 0 精华: 0
主题:0 回复:32073
注册时间:2018-03-20
在线时长:0
6#   发表于:2019-11-18 17:27:54  IP:117.141.*.*
显示全部 只看该作者
回复第5楼
世间没有一种具有真正价值的东西,可以不经过艰苦辛勤劳动而能够得到的。
使用道具
   顶端
1 共1页