记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Apache ShenYu身份验证绕过漏洞 (CVE-2021-37580) 通告

2021-11-20 12:24

0x00 漏洞概述

CVE ID

CVE-2021-37580

时 间

2021-11-16

类 型

身份验证绕过

等 级

严重

远程利用

影响范围

攻击复杂度

可用性

用户交互

所需权限

PoC/EXP

在野利用

0x01 漏洞详情

Apache ShenYu(原名 Soul)是一个异步的、跨语言的、多协议的高性能响应式API 网关,并可应用于所有微服务场景。

2021年 11 月 16日,Apache发布安全公告,公开了Apache ShenYu中的一个身份验证绕过漏洞(CVE-2021-37580),该漏洞的CVSS评分为9.8。由于ShenyuAdminBootstrap中JWT的错误使用,导致攻击者可以绕过身份验证,直接进入目标系统后台。

影响范围

Apache ShenYu 2.3.0

Apache ShenYu 2.4.0

0x02 处置建议

目前此漏洞已经修复,建议及时升级更新到Apache ShenYu 2.4.1版本。

下载链接:

https://shenyu.apache.org/zh/download/

0x03 参考链接

https://lists.apache.org/thread/o15j25qwtpcw62k48xw1tnv48skh3zgb

https://www.openwall.com/lists/oss-security/2021/11/16/1

https://nvd.nist.gov/vuln/detail/CVE-2021-37580

声明:本文来自维他命安全,版权归作者所有。


知识来源: https://www.secrss.com/articles/36299

阅读:838424 | 评论:0 | 标签:漏洞 CVE

想收藏或者和大家分享这篇好文章→复制链接地址

“Apache ShenYu身份验证绕过漏洞 (CVE-2021-37580) 通告”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

客黑业创的万千入年个一

❤用费0款退球星,年1期效有员会

🧠富财控掌,知认升提,长成起一💡

标签云 ☁

本页关键词 💎