Apache Shiro Giriş İhlali Zafiyeti

Apache Shiro Giriş İhlali Zafiyeti

25 Temmuz 2023 tarihinde yayınlanan zafiyet raporuna göre Apache Shiro için giriş ihlali ile sonuçlanabilecek ve hassas bilgi ve dosyalara erişime imkan vererek bu bilgi ve dosyaların güvenliğini riske atacak kritik dereceli bir zafiyet tespit edildi.

Saldırganlar özel hazırlanmış kötü amaçlı giriş bilgisi istekleri göndererek bu zafiyeti sömürebilirler. Bu yolla şifre bilgileri, kredi kartı numaraları gibi hassas / özel bilgi ve dökümanlara erişim sağlanabilir. Ayrıca saldırganlar başka saldırılar orgabize etmek için uygulamanın kontrolünü ele geçirerebilirler.(CVE-2023-34478)

Etkilenen Sistemler

-

IoC’ler

-

Çözüm Önerileri

Apache Shiro kullanıcıları Apache Shiro frameworklerini versiyon 1.12.0 veya üstü, ve 2.0.0-alpha-3 veya üstü sürümlerle güncellemelidir.

Tedbirler

Güncelleme imkanı bulunmayan kullanıcıların ellerindeki uygulamayı korumak için aşağıdaki tedbirleri uygulamaları önerilmektedir:

-Uygulamada normalleştirilmemiş isteklerin kullanımını devre dışı bırakın.
-Kötü amaçlı yol bilgilerini filtrelemek için giriş doğrulaması uygulayın.
-Kötü amaçlı istekleri engellemek için bir web uygulaması güvenlik duvarı (WAF) kullanın.

CVE / CWE

CVE-2023-34478

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2023-34478
• https://securityonline.info/cve-2023-34478-apache-shiro-path-traversal-vulnerability/
• http://www.openwall.com/lists/oss-security/2023/07/24/4
• https://lists.apache.org/thread/mbv26onkgw9o35rldh7vmq11wpv2t2qk

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.