Описание
Apache Shiro before 1.4.2, when using the default "remember me" configuration, cookies could be susceptible to a padding attack.
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat JBoss A-MQ 6 | shiro-core | Out of support scope | ||
| Red Hat JBoss Fuse 6 | shiro-core | Out of support scope | ||
| Red Hat JBoss Fuse Service Works 6 | shiro-core | Out of support scope | ||
| Red Hat OpenStack Platform 10 (Newton) | opendaylight | Out of support scope | ||
| Red Hat OpenStack Platform 13 (Queens) | opendaylight | Will not fix | ||
| Red Hat OpenStack Platform 14 (Rocky) | opendaylight | Will not fix | ||
| Red Hat Fuse 7.6.0 | shiro-core | Fixed | RHSA-2020:0983 | 26.03.2020 |
Показывать по
10
Дополнительная информация
Статус:
Moderate
Дефект:
CWE-20
https://bugzilla.redhat.com/show_bug.cgi?id=1774726shiro: Cookie padding oracle vulnerability with default configuration
7.4 High
CVSS3
Связанные уязвимости
CVSS3: 7.5
ubuntu
около 6 лет назад
Apache Shiro before 1.4.2, when using the default "remember me" configuration, cookies could be susceptible to a padding attack.
CVSS3: 7.5
nvd
около 6 лет назад
Apache Shiro before 1.4.2, when using the default "remember me" configuration, cookies could be susceptible to a padding attack.
CVSS3: 7.5
debian
около 6 лет назад
Apache Shiro before 1.4.2, when using the default "remember me" config ...
CVSS3: 7.5
fstec
около 6 лет назад
Уязвимость фреймворка Apache Shiro, связанная с использованием конфигурации «remember me» по умолчанию, позволяющая нарушителю оказать воздействие на целостность cookie-файлов
7.4 High
CVSS3