关键漏洞信息 漏洞类型: 不正确的访问控制 (Incorrect Access Control) 受影响的产品: XMail 产品版本: 所有版本(<= v1.1) 受影响的组件: 所有接口需要认证 攻击类型: 远程 漏洞细节: - 由于使用了不安全版本的Shiro(版本1.4.0),导致存在不正确的访问控制漏洞。 - Shiro用于XMail中的认证,但版本1.4.0包含不安全实现。 - 漏洞利用示例:通过发送特定的HTTP请求到 接口,可以绕过认证。 根本原因: - Shiro在某些接口中配置不当,没有权限要求,允许利用Shiro漏洞进行身份验证绕过。 相关代码片段: