Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00452

Опубликовано: 12 янв. 2024
Источник: fstec
CVSS3: 5.5
CVSS2: 5.8
EPSS Низкий

Описание

Уязвимость фреймворка Apache Shiro связана с недостатками ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процесс аутентификации путем отправки специально сформированных запросов

Вендор

Apache Software Foundation

Наименование ПО

Shiro

Версия ПО

до 1.13.0 (Shiro)
от 2.0.0-alpha-1 до 2.0.0-alpha-4 (Shiro)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://lists.apache.org/thread/mdv7ftz7k4488rzloxo2fb0p9shnp9wm

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 36%
0.00152
Низкий

5.5 Medium

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-46749

CVSS3: 6.5
ubuntu
около 2 лет назад

Apache Shiro before 1.13.0 or 2.0.0-alpha-4, may be susceptible to a path traversal attack that results in an authentication bypass when used together with path rewriting Mitigation: Update to Apache Shiro 1.13.0+ or 2.0.0-alpha-4+, or ensure `blockSemicolon` is enabled (this is the default).

redhat логотип

CVE-2023-46749

CVSS3: 6.5
redhat
около 2 лет назад

Apache Shiro before 1.13.0 or 2.0.0-alpha-4, may be susceptible to a path traversal attack that results in an authentication bypass when used together with path rewriting Mitigation: Update to Apache Shiro 1.13.0+ or 2.0.0-alpha-4+, or ensure `blockSemicolon` is enabled (this is the default).

nvd логотип

CVE-2023-46749

CVSS3: 6.5
nvd
около 2 лет назад

Apache Shiro before 1.13.0 or 2.0.0-alpha-4, may be susceptible to a path traversal attack that results in an authentication bypass when used together with path rewriting Mitigation: Update to Apache Shiro 1.13.0+ or 2.0.0-alpha-4+, or ensure `blockSemicolon` is enabled (this is the default).

debian логотип

CVE-2023-46749

CVSS3: 6.5
debian
около 2 лет назад

Apache Shiro before 1.13.0 or 2.0.0-alpha-4, may be susceptible to a p ...

github логотип

GHSA-jc7h-c423-mpjc

CVSS3: 6.5
github
около 2 лет назад

Apache Shiro vulnerable to path traversal

EPSS

Процентиль: 36%
0.00152
Низкий

5.5 Medium

CVSS3

5.8 Medium

CVSS2