一、 漏洞 CVE-2010-3863 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Apache Shiro 版本低于 1.1.0 和 JSecurity 0.9.x 存在一个安全漏洞。攻击者可以通过构造特定的请求来绕过预期的访问限制。

## 影响版本
- Apache Shiro: 版本低于 1.1.0
- JSecurity: 0.9.x

## 漏洞细节
在处理 URI 路径时,Apache Shiro 和 JSecurity 没有将其规范化再与 `shiro.ini` 文件中的条目进行比较,这使得攻击者可以通过发送精心构造的请求(例如带有 `/./` 路径的 URI)来绕过访问控制。

## 影响
攻击者可以使用这一漏洞绕过系统的访问权限控制,访问受限的资源或功能。例如,利用包含 `/./account/index.jsp` 路径的 URI 来访问受限页面。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Apache Shiro before 1.1.0, and JSecurity 0.9.x, does not canonicalize URI paths before comparing them to entries in the shiro.ini file, which allows remote attackers to bypass intended access restrictions via a crafted request, as demonstrated by the /./account/index.jsp URI.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Shiro路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Shiro/Jsecurity都是强大、灵活的Java开源安全框架。 Apache Shiro 1.1.0版本,以及Jsecurity 0.9.x在执行路径匹配之前没有规范URI路径。远程攻击者可以借助特制请求绕过预设的访问限制。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2010-3863 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/Threekiii/Awesome-POC/blob/master/%E4%B8%AD%E9%97%B4%E4%BB%B6%E6%BC%8F%E6%B4%9E/Apache%20Shiro%20%E8%AE%A4%E8%AF%81%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%20CVE-2010-3863.md POC详情
2 https://github.com/vulhub/vulhub/blob/master/shiro/CVE-2010-3863/README.md POC详情
3 shiro 路径穿越 https://github.com/sh1inroot-alt/shiro-cve-2010-3863 POC详情
三、漏洞 CVE-2010-3863 的情报信息
四、漏洞 CVE-2010-3863 的评论

暂无评论

发表评论