jeesite远程命令执行漏洞
seedis opened this issue · comments
jeesite 远程命令执行漏洞(Remote command execution vulnerability)
漏洞利用过程
jeesite使用了apache shiro组件,其版本为1.2.3。
因apache shiro该版本存在java反序列化漏洞,攻击者可构造恶意数据包执行任意命令,从而拿下服务器权限。
以公网某网站为例:(参考:http://blog.knownsec.com/2016/08/apache-shiro-java/)
从上图可以看到,我们利用脚本执行命令即可反弹拿到该网站对应ip服务器的命令执行权限,危害巨大。
由于使用该框架的网站众多,致使大量网站存在严重安全隐患。请尽快修复并提示用户进行升级修复该漏洞。
修复建议
升级 Shiro 版本至 1.2.5 以上。
谢谢反馈已升级
