CVE-2016-4437— Apache Shiro 信息泄露漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2016-4437の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
N/A
ソース: NVD (National Vulnerability Database)
脆弱性説明
Apache Shiro before 1.2.5, when a cipher key has not been configured for the "remember me" feature, allows remote attackers to execute arbitrary code or bypass intended access restrictions via an unspecified request parameter.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Apache Shiro 信息泄露漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 Apache Shiro 1.2.5之前版本中存在安全漏洞。当程序没有为remember功能配置加密密钥时,远程攻击者可借助请求参数利用该漏洞执行任意代码,或绕过既定的访问限制。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| - | n/a | n/a | - |
II. CVE-2016-4437の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|---|---|---|
| 1 | CVE-2016-4437-Shiro反序列化爆破模块和key,命令执行,反弹shell的脚本 | https://github.com/bkfish/Awesome_shiro | POC詳細 |
| 2 | None | https://github.com/m3terpreter/CVE-2016-4437 | POC詳細 |
| 3 | 一个针对shiro反序列化漏洞(CVE-2016-4437)的快速利用工具/A simple tool targeted at shiro framework attacks with ysoserial. | https://github.com/4nth0ny1130/shisoserial | POC詳細 |
| 4 | Python POC to Exploit CVE-2016-4437 Apache Shiro Deserialization Vulnerability Due to Hardcode Encryption Key | https://github.com/pizza-power/CVE-2016-4437 | POC詳細 |
| 5 | 1.验证CVE-2016-4437、2.解析rememberMe的文件和CBC加密的IV偏移 | https://github.com/xk-mt/CVE-2016-4437 | POC詳細 |
| 6 | Apache Shiro before 1.2.5, when a cipher key has not been configured for the "remember me" feature, allows remote attackers to execute arbitrary code or bypass intended access restrictions via an unspecified request parameter. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2016/CVE-2016-4437.yaml | POC詳細 |
| 7 | None | https://github.com/Threekiii/Awesome-POC/blob/master/%E4%B8%AD%E9%97%B4%E4%BB%B6%E6%BC%8F%E6%B4%9E/Apache%20Shiro%201.2.4%20%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%20CVE-2016-4437.md | POC詳細 |
| 8 | https://github.com/vulhub/vulhub/blob/master/shiro/CVE-2016-4437/README.md | POC詳細 | |
| 9 | 这是基于cve-2016-4437简单的漏洞复现代码 | https://github.com/35789-gh/cve-2016-4437 | POC詳細 |
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2016-4437のインテリジェンス情報
お願いします ログイン より多くのインテリジェンス情報を見る
Same Patch Batch · n/a · 2016-06-07 · 21 CVEs total
| CVE-2015-5260 | spice 缓冲区错误漏洞 | |
| CVE-2016-5242 | Xen 拒绝服务漏洞 | |
| CVE-2016-4963 | Xen 安全漏洞 | |
| CVE-2016-4962 | Xen 安全漏洞 | |
| CVE-2016-4450 | F5 Nginx 代码问题漏洞 | |
| CVE-2016-2335 | 7zip 安全漏洞 | |
| CVE-2015-7695 | Zend Framework SQL注入漏洞 | |
| CVE-2015-7611 | Apache James Server 命令执行漏洞 | |
| CVE-2015-5723 | 多款Zend产品本地提权漏洞 | |
| CVE-2015-5261 | Red Hat SPICE 基于堆的缓冲区溢出漏洞 | |
| CVE-2013-7440 | Cpython 安全漏洞 | |
| CVE-2015-5231 | CRIU 安全漏洞 | |
| CVE-2015-5228 | CRIU 安全漏洞 | |
| CVE-2014-9747 | FreeType 远程拒绝服务漏洞 | |
| CVE-2014-9746 | FreeType 拒绝服务漏洞 | |
| CVE-2014-8177 | Swift-on-File 远程拒绝服务漏洞 | |
| CVE-2016-4545 | 多款F5 BIG-IP产品安全漏洞 | |
| CVE-2016-3093 | Apache Struts 2 拒绝服务漏洞 | |
| CVE-2016-3087 | Apache Struts 输入验证错误漏洞 | |
| CVE-2016-3072 | Katello SQL注入漏洞 |
IV. 関連脆弱性
同じベンダー: n/a
- CVE-2026-8196
JeecgBoot mLogin Endpoint LoginController.java authorization - CVE-2026-8195
JeecgBoot SVG File CommonController.java cross site scriptin - CVE-2026-8194
osTicket Dispatcher class.dispatcher.php cross-site request - CVE-2026-8193
Akaunting Invoice PDF Rendering dompdf.php server-side reque - CVE-2026-8186
Open5GS NF client.c ogs_sbi_client_send_via_scp_or_sepp out-
V. CVE-2016-4437へのコメント
まだコメントはありません