Goby漏洞更新|Apache ShenYu Admin plugin 接口未授权访问漏洞(CVE-2022-23944)

最新推荐文章于 2023-12-21 15:25:05 发布
最新推荐文章于 2023-12-21 15:25:05 发布
阅读量672 收藏
点赞数 1
分类专栏: Goby 漏洞 红队版 文章标签: apache 网络安全 未授权访问 CVE-2022-23944
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/130013738
版权
Goby 同时被 3 个专栏收录
184 篇文章 30 订阅
订阅专栏
漏洞
133 篇文章 3 订阅
订阅专栏
红队版
113 篇文章 3 订阅
订阅专栏

漏洞名称: Apache ShenYu Admin plugin 接口未授权访问漏洞(CVE-2022-23944)

English Name:Apache ShenYu Admin plugin API Unauth Access Vulnerability (CVE-2022-23944)

CVSS core: 9.1

影响资产数:74

漏洞描述:

Apache ShenYu是美国阿帕奇(Apache)基金会的一个异步的,高性能的,跨语言的,响应式的 API 网关。Apache ShenYu 2.4.0 和 2.4.1存在访问控制错误漏洞,该漏洞源于用户无需身份验证即可访问 /plugin api。

漏洞影响:

Apache ShenYu 2.4.0 和 2.4.1存在访问控制错误漏洞,该漏洞源于用户无需身份验证即可访问 /plugin api。

FOFA查询语句(点击直接查看结果):

body="id=\“httpPath\” style=\“display: none”

此漏洞已可在Goby漏扫/红队版进行扫描验证

免费获取Goby:Goby社区版免费下载

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2021-37580(CNVD-2021-89682) Apache ShenYu授权访问漏洞复现
afei001
03-08 672
Apache ShenYu Admin存在授权问题漏洞,该漏洞源于ShenyuAdminBootstrap中JWT的错误使用允许攻击者绕过身份验证。
Apache ShenYu管理系统登录认证绕过漏洞分析(CVE-2021-37580)
Moyun_vackbot的博客
03-03 2997
导语 Apache ShenYu 是一个异步的,高性能的,跨语言的,响应式的 API 网关。近期VLab监测到其历史版本(2.3.0-2.4.0)中存在登录认证绕过的风险,CVE编号为CVE-2021-37580 本文仅限于对漏洞点进行研究讨论,禁止任何人用于非法途径,所产生的任何非法攻击都与本作者无关,本文会对具体PoC部分进行阉割.请严格遵守《网络安全法》 环境搭建 先从官方仓库克隆一份最新代码到本地,然后切换到相关tag,方便分析漏洞。 git clone https://github
Apache ShenYu Admin plugin 授权访问漏洞(CVE-2022-23944)
weixin_44047654的博客
02-14 1520
Apache ShenYu Admin plugin 授权访问漏洞(CVE-2022-23944)
无胁科技-TVD每日漏洞情报-2022-11-23
wuthreat无胁科技的博客
11-28 620
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2022-44158;漏洞编号:CVE-2022-41945;
Apache ShenYu身份验证绕过漏洞CVE-2021-37580)
weixin_42345596的博客
11-22 4026
漏洞原理 近日,Apache ShenYu Admin爆出身份验证绕过漏洞,攻击者可通过该漏洞绕过JSON Web Token (JWT)安全认证,直接进入系统后台。 2021年 11 月 16日,Apache发布安全公告,公开了Apache ShenYu中的一个身份验证绕过漏洞CVE-2021-37580),该漏洞的CVSS评分为9.8。由于ShenyuAdminBootstrap中JWT的错误使用,导致攻击者可以绕过身份验证,直接进入目标系统后台。 影响版本 Apache ShenYu 2.3.0 A
Apache ShenYu 网关JWT认证绕过漏洞 CVE-2021-37580
qq_42430287的博客
12-21 1263
payload的意思是使用了一个JWT令牌,对其进行Base64解码可得到攻击者尝试的用户为。由于服务端在使用JWT的时候,也没有校验key,导致任意能解码的JWT,并且只要用户(userName的值)存在,都能通过校验。如果攻击成功,在响应头中返回的状态码为200,且在响应体中返回字样。
Apache ShenYu JWT认证缺陷漏洞(CVE-2021-37580)
god_Zeo的安全博客
11-23 4662
0x01 漏洞说明 Apache ShenYu 是应用于所有微服务场景的,可扩展、高性能、响应式的 API 网关解决方案。 Apache ShenYu Admin 存在身份验证绕过漏洞**(CVE-2021-37580)*,该漏洞的CVSS评分为9.8***。由于ShenyuAdminBootstrap 中 JWT 的错误使用允许攻击者绕过身份验证,攻击者可通过该漏洞直接进入系统后台。 0x02 影响版本 Apache ShenYu 2.3.0 Apache ShenYu 2.4.0 0x03 漏洞复现 F
Python库 | Apache-ShenYu-Client-0.1.1.tar.gz
05-12
资源分类:Python库 所属语言:Python 资源全名:Apache-ShenYu-Client-0.1.1.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
incubator-shenyu-dashboard:阿帕奇神宇仪表盘
07-24
神宇仪表盘概述沉宇Dashboard是一个管理背景...startnpm start生产环境 # install dependencies in this project root path.npm install# build for productionnpm run build# copy to shenyu-admincp -rf dist/ * shen
Apache ShenYu网关 v2.6.1.zip
最新发布
03-18
2. shenyu-2.6.1:这是一个解压后的文件夹,包含ShenYu网关的全部源代码和资源。这个目录下的内容一般分为以下几个部分: - src/main/java:这里存放着项目的源代码,包括核心模块如Selector、Rule、Plugin等,以及...
shenyu-master.zip
03-19
Apache ShenYu,作为一款强大的API网关和接口管理系统,它在国内有着广泛的镜像仓库支持,使得开发者能够更方便地获取和使用这一开源项目。ShenYu的出现旨在为微服务架构提供高性能、高可用的流量控制和路由管理,...
Apache ShenYu
05-04
Proxy: Support for Apache Dubbo, Spring Cloud, gRPC, Motan, SOFA, TARS, WebSocket, MQTT Security: Sign, OAuth 2.0, JSON Web Tokens, WAF plugin API governance: Request, response, parameter mapping, ...
修复tomcat漏洞
hryzxjh的博客
06-25 4571
当前Tomcat存在漏洞Apache Tomcat 代码问题漏洞(CVE-2022-29885)Apache Tomcat 注入漏洞(CVE-2022-45143)Apache Tomcat 环境问题漏洞(CVE-2022-42252)Apache Tomcat 权限许可和访问控制问题漏洞(CVE-2022-23181)Apache Commons FileUpload 拒绝服务漏洞(CVE-2023-24998)Apache Tomcat 跨站脚本漏洞(CVE-2022-34305)
2022年最常被利用的十大漏洞
Innocence_0的博客
06-20 371
6月份,包括Kinsing、Hezb和Dark在内的几个僵尸网络使用Atlassian Confluence的远程执行漏洞CVE-2022-26134),在打补丁的安装系统上部署挖掘加密货币的恶意软件。现已得到修补的CVE-2022-0609是谷歌Chrome的动画组件中的远程代码执行漏洞,两起独立的与朝鲜有关的黑客活动(名为“Operation Dream Job”和“Operation AppleJeus”)利用了该漏洞,这两起黑客活动攻击美国的媒体、IT、加密货币和金融技术等行业的多家组织。
春秋云镜cve-2022-32991wp
CS160126的博客
06-27 565
春秋云镜cve-2022-32991
记录一次vulhub:Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
sszsNo1的博客
06-29 200
vulhub:Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
字节跳动内推
HWHXY的博客
03-23 605
字节跳动内推
随着网络犯罪分子逃避云安全防御,无文件攻击激增
热门推荐
网络研究观
07-03 1万+
威胁行为者正在大量投入资源来隐藏活动并避免被发现,以便在受感染的系统中建立更牢固的立足点。
春秋云镜 CVE-2022-25578
qq_22002773的博客
06-30 224
春秋云镜 CVE-2022-25578
错误: 找不到或无法加载主类 org.apache.shenyu.admin.ShenyuAdminBootstrap
06-09
这个错误通常是因为找不到或加载不了Shenyu Admin Bootstrap应用程序的主类所导致的。可能的原因包括: 1. 没有正确设置CLASSPATH环境变量,或者CLASSPATH环境变量中没有包含必要的类路径。 2. 找不到或加载不了Shenyu Admin Bootstrap应用程序的主类所依赖的类库。 3. Shenyu Admin Bootstrap应用程序的主类中有语法错误或编译错误。 你可以检查以上三个方面,尝试解决问题。另外,也可以检查你的操作系统和Java环境是否符合Shenyu Admin Bootstrap的要求。如果问题仍然存在,你可以提供更多的错误信息或上下文,以便更好地理解和解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值