Apache ShenYu JWT认证缺陷绕过漏洞 (CVE-2021-37580)

Apache ShenYu JWT认证缺陷绕过漏洞 (CVE-2021-37580),第1张

Apache ShenYu JWT认证缺陷绕过漏洞 (CVE-2021-37580)

0x00 漏洞详情

Apache ShenYu(原名 Soul)是一个异步的、跨语言的、多协议的高性能响应式API 网关,并可应用于所有微服务场景。
2021 年 11 月 16日,Apache发布安全公告,公开了Apache ShenYu中的一个身份验证绕过漏洞(CVE-2021-37580),该漏洞的CVSS评分为9.8。由于ShenyuAdminBootstrap中JWT的错误使用,导致攻击者可以绕过身份验证,直接进入目标系统后台。

0x01 影响范围

Apache ShenYu 2.3.0

Apache ShenYu 2.4.0

0x02 FOFA语法
fid="uPGDN6V9UWnc+KJdy5wdkQ=="

0x03 漏洞复现

POC:

/dashboardUser

0x04 处置建议

目前此漏洞已经修复,建议及时升级更新到Apache ShenYu 2.4.1版本。
下载链接:
https://shenyu.apache.org/zh/download/

转载请注明:Adminxe's Blog » Apache ShenYu JWT认证缺陷绕过漏洞 (CVE-2021-37580)

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zaji/5685312.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-12-17
下一篇 2022-12-17

发表评论

登录后才能评论

评论列表(0条)

保存