Plataforma
other
Componente
shiro
Corrigido em
782730.0.1
Uma vulnerabilidade crítica de Path Traversal foi descoberta no componente Shiro Configuration, afetando versões até bc782730c74ff080494f145cc363a0b4f43f7d3e. Essa falha permite que um atacante acesse arquivos e diretórios sensíveis fora do diretório raiz previsto. Devido ao modelo de lançamento contínuo, versões específicas afetadas e atualizadas não estão disponíveis. A correção está disponível na versão 782730.0.1.
A vulnerabilidade de Path Traversal em Shiro Configuration permite que um atacante explore a função desconhecida do arquivo /index para obter acesso não autorizado a arquivos no sistema. Um invasor pode, por exemplo, ler arquivos de configuração contendo senhas ou chaves de API, ou até mesmo executar código malicioso se o sistema permitir a escrita em determinados diretórios. O impacto potencial é significativo, podendo levar à exfiltração de dados confidenciais, comprometimento do sistema e, em casos extremos, controle total sobre o servidor. A exploração remota é possível, aumentando o risco de ataques.
A vulnerabilidade foi divulgada publicamente em 2025-08-10, indicando um risco elevado de exploração. Não há informações disponíveis sobre a adição a KEV ou a pontuação EPSS. A existência de um Proof of Concept (PoC) público aumenta a probabilidade de exploração ativa. É fundamental monitorar a atividade da rede e os logs do sistema para detectar sinais de comprometimento.
Organizations utilizing Shiro Configuration in their applications, particularly those with older, unpatched versions, are at risk. Shared hosting environments where multiple applications share the same Shiro Configuration instance are also particularly vulnerable, as a compromise of one application could potentially expose the entire environment.
disclosure
Status do Exploit
EPSS
0.23% (percentil 45%)
CISA SSVC
Vetor CVSS
A atualização para a versão 782730.0.1 é a solução recomendada para mitigar a vulnerabilidade CVE-2025-8815. Como a Shiro utiliza um modelo de lançamento contínuo, a aplicação imediata da atualização é crucial. Se a atualização imediata não for possível, considere implementar medidas de mitigação, como restringir o acesso ao componente Shiro Configuration através de um firewall ou proxy reverso. Implemente regras de WAF (Web Application Firewall) para bloquear solicitações que contenham caracteres de path traversal (por exemplo, '..'). Monitore logs de acesso para detectar tentativas de exploração.
Actualice la configuración de Shiro para evitar el recorrido de directorios. Revise la configuración de la aplicación y asegúrese de que los archivos estáticos estén protegidos adecuadamente. Considere implementar validaciones de entrada más estrictas para las rutas de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-8815 is a critical Path Traversal vulnerability affecting Shiro Configuration versions up to bc782730c74ff080494f145cc363a0b4f43f7d3e, allowing attackers to access arbitrary files remotely.
If you are using Shiro Configuration versions prior to 782730.0.1, you are potentially affected by this vulnerability. Check your current version against the affected range.
Upgrade to version 782730.0.1 or later to remediate the vulnerability. Monitor for continuous updates due to the rolling release model.
While no active campaigns have been publicly confirmed, the vulnerability has been disclosed, increasing the risk of exploitation.
Refer to the official Shiro project website and security advisories for the latest information and updates regarding CVE-2025-8815.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.