JAVA安全网
[已修复]Alibaba Nacos to 认证ByPass漏洞,可导致RCE
组件描述 Nacos是阿里巴巴2018年7月发布的一个产品,Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 漏洞作者 threedr3am 漏洞描述 nacos的认证绕过安全漏洞,在n...
漏洞分析
Apache Shiro 权限绕过漏洞分析(CVE-2020-13933)
漏洞简述 Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。 风险等级 高危 影响版本 Apache Sh...
Fastjson 1.2.68 最新版本有限制 autotype bypass
关于漏洞 该漏洞和以往的 autotype bypass 不同,要求 gadget 必须继承自 Throwable 异常类,所以常见的 JNDI gadget 就无法在此处使用。 所以只能找在异常类中的构造方法、se...
shiro权限绕过漏洞分析(CVE-2020-1957)
Author:spoock 环境搭建 根据 Spring Boot 整合 Shiro ,两种方式全总结!。我配置的权限如下所示: @Bean ShiroFilterFactoryBean shiroFilterFac...
Shiro RememberMe 1.2.4 反序列化导致的命令执行漏洞
rungobier (知道创宇404安全实验室) 概述 Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地,在它编号为550的 issue 中爆出严重的 Java 反序列化漏洞。下面,我...