【漏洞详情】

Apache Shiro 是一个强大且易用的 Java 安全框架，用于执行身份验证、授权、密码和会话管理。Apache Shiro cookie 中的通过 AES-128-CBC 模式加密的rememberMe字段存在问题，攻击者使用有效rememberMe cookie作为Padding Oracle攻击的前缀，通过构造恶意rememberMe即可实现反序列化攻击，最终导致远程代码执行。

【风险评级】

高危

【影响范围】

Apache Shiro 1.2.5, 1.2.6, 1.3.0, 1.3.1, 1.3.2, 1.4.0-RC2, 1.4.0, 1.4.1版本

【修复建议】

目前官方尚未发布此漏洞的安全补丁，请受影响的用户及时关注官方更新，网址：https://issues.apache.org/jira/browse/SHIRO-721

【参考链接】

https://issues.apache.org/jira/browse/SHIRO-721

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2019年11月14日