Plataforma
java
Componente
org.apache.shiro:shiro-core
Corregido en
1.8.0
1.8.0
El CVE-2021-41303 describe una vulnerabilidad de bypass de autenticación en Apache Shiro, una biblioteca de seguridad popular para Java. Esta falla permite a atacantes eludir los mecanismos de autenticación en aplicaciones que utilizan Apache Shiro junto con Spring Boot, comprometiendo la integridad y confidencialidad de los datos. La vulnerabilidad afecta a versiones de Apache Shiro anteriores o iguales a 1.7.1. Se recomienda actualizar a la versión 1.8.0 para solucionar este problema.
La gravedad de este bypass de autenticación radica en su potencial para permitir a atacantes no autenticados acceder a funciones y datos sensibles dentro de la aplicación. Un atacante podría, por ejemplo, obtener acceso a cuentas de usuario, modificar datos críticos o incluso ejecutar código malicioso con los privilegios de un usuario autenticado. La combinación de Apache Shiro y Spring Boot, común en muchas aplicaciones empresariales, amplía significativamente el alcance del impacto. Esta vulnerabilidad se asemeja a otros bypass de autenticación que han permitido el acceso no autorizado a sistemas críticos, lo que subraya la necesidad de una corrección inmediata. El riesgo es especialmente alto en entornos donde la autenticación es un componente fundamental de la seguridad.
El CVE-2021-41303 fue publicado el 20 de septiembre de 2021. No se ha confirmado la explotación activa en la naturaleza, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. La disponibilidad de un proof-of-concept (PoC) podría facilitar la explotación por parte de actores maliciosos. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. Es importante evaluar la probabilidad de explotación en función del entorno específico y la exposición de la aplicación.
Organizations using Apache Shiro for authentication and authorization within Spring Boot applications are at significant risk. This includes businesses relying on web applications with sensitive data, particularly those using older Shiro versions without robust security practices. Shared hosting environments where multiple applications share the same Shiro instance are also at increased risk.
• java / server:
find / -name "shiro-core-*.jar" -print0 | xargs -0 grep -i "org.apache.shiro.spring.SpringShiroLifecycleProcessor"• generic web:
curl -I https://your-application.com/ | grep Server• java / application:
Review application code for usage of org.apache.shiro.spring.SpringShiroLifecycleProcessor and ensure Shiro version is >= 1.8.0.
disclosure
patch
Estado del Exploit
EPSS
50.08% (98% percentil)
Vector CVSS
La mitigación principal para el CVE-2021-41303 es actualizar Apache Shiro a la versión 1.8.0 o superior. Si la actualización inmediata no es posible debido a problemas de compatibilidad, considere implementar medidas de seguridad adicionales como la restricción de acceso a recursos sensibles y la revisión exhaustiva de la configuración de autenticación. En algunos casos, se pueden aplicar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten explotar la vulnerabilidad. Es crucial monitorear los registros de la aplicación en busca de patrones de acceso inusuales que puedan indicar un intento de explotación. Después de la actualización, confirme la corrección revisando los registros de auditoría y realizando pruebas de penetración.
Actualice Apache Shiro a la versión 1.8.0 o superior. Esta versión corrige la vulnerabilidad de omisión de autenticación. La actualización se puede realizar a través del gestor de dependencias Maven o Gradle.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-41303 is a critical vulnerability in Apache Shiro versions 1.7.1 and below, where a crafted HTTP request can bypass authentication when used with Spring Boot, allowing unauthorized access.
You are affected if you are using Apache Shiro versions 1.7.1 or earlier, especially within a Spring Boot application. Check your Shiro version immediately.
Upgrade to Apache Shiro version 1.8.0 or later to resolve the authentication bypass vulnerability. If immediate upgrade is not possible, implement temporary workarounds like stricter input validation.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a likely target. Public PoCs exist.
Refer to the official Apache Shiro security advisory for detailed information and updates: https://shiro.apache.org/security/advisories/shiro-core-1.8.0.html
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.