Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-05609

Опубликовано: 03 июн. 2016
Источник: fstec
CVSS3: 8.1
CVSS2: 9.3
EPSS Критический

Описание

Уязвимость реализации функции «Remember Me» фреймворка Apache Shiro связана с использованием ключа шифрования по умолчанию. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или обойти ограничения безопасности

Вендор

Red Hat Inc.
Apache Software Foundation

Наименование ПО

Red Hat JBoss Fuse
Red Hat JBoss A-MQ
Red Hat JBoss Fuse Service Works
Shiro
Red Hat OpenShift Enterprise

Версия ПО

6 (Red Hat JBoss Fuse)
6.3 (Red Hat JBoss Fuse)
6 (Red Hat JBoss A-MQ)
6 (Red Hat JBoss Fuse Service Works)
до 1.2.5 (Shiro)
6.3 (Red Hat JBoss A-MQ)
2 (Red Hat OpenShift Enterprise)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Shiro:
https://lists.apache.org/thread/g9kl6hgl8m6mxkc76hpvt8xg6qgkwytv
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2016-4437

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94214
Критический

8.1 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2016-4437

CVSS3: 9.8
ubuntu
больше 9 лет назад

Apache Shiro before 1.2.5, when a cipher key has not been configured for the "remember me" feature, allows remote attackers to execute arbitrary code or bypass intended access restrictions via an unspecified request parameter.

redhat логотип

CVE-2016-4437

CVSS3: 7.3
redhat
больше 9 лет назад

Apache Shiro before 1.2.5, when a cipher key has not been configured for the "remember me" feature, allows remote attackers to execute arbitrary code or bypass intended access restrictions via an unspecified request parameter.

nvd логотип

CVE-2016-4437

CVSS3: 9.8
nvd
больше 9 лет назад

Apache Shiro before 1.2.5, when a cipher key has not been configured for the "remember me" feature, allows remote attackers to execute arbitrary code or bypass intended access restrictions via an unspecified request parameter.

debian логотип

CVE-2016-4437

CVSS3: 9.8
debian
больше 9 лет назад

Apache Shiro before 1.2.5, when a cipher key has not been configured f ...

github логотип

GHSA-p836-389h-j692

CVSS3: 9.8
github
больше 3 лет назад

Improper Access Control in Apache Shiro

EPSS

Процентиль: 100%
0.94214
Критический

8.1 High

CVSS3

9.3 Critical

CVSS2