【漏洞详情】

Apache Shiro存在反序列化远程命令执行安全漏洞，利用此漏洞攻击者可以发送精心构造的恶意 HTTP请求，获得目标服务器的权限，在未授权的情况下可实现远程执行任意命令，读写文件，反弹shell等攻击。

【风险评级】

高危

【影响范围】

Shiro <= 1.2.4

【修复建议】

 建议受影响用户结合业务应用综合评估漏洞风险，可选择采用以下方案完成漏洞修复：

l  方案1：升级到最新稳定的1.4.1版本；

l  方案2：在代码中搜索关键字：securityManager.setRememberMeManager(rememberMeManager)，

   如果发现请删除securityManager.setRememberMeManager(rememberMeManager)。

【参考链接】

https://github.com/Medicean/VulApps/tree/master/s/shiro/1

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2019年6月21日