一 漏洞概述

Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。Apache Shiro cookie中的通过AES-128-CBC模式加密的rememberMe字段存在问题，容易受到Padding Oracle攻击。攻击者可以使用有效的rememberMe cookie作为Padding Oracle攻击的前缀，然后构造rememberMe来执行Java反序列化攻击，最终导致远程代码执行。

二 漏洞危害

攻击者可以使用有效的rememberMe cookie作为Padding Oracle攻击的前缀，然后构造rememberMe来执行Java反序列化攻击，最终导致远程代码执行。

三 影响版本

Apache Shiro 1.2.5, 1.2.6, 1.3.0, 1.3.1, 1.3.2, 1.4.0-RC2, 1.4.0, 1.4.1版本

四 复现过程

无

五 影响范围

根据 ZoomEye 网络空间搜索引擎[1]对关键字 “Shiro” 进行搜索，共得到 2,860 条 IP 历史记录，主要分布在美国、中国等国家。

六 修复建议

1. 目前此漏洞暂无补丁和缓解方案，建议在外部设备尝试拦截爆破流量。

七 相关链接

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult?q=Shiro