CVE-2023-22602 CVE-2023-34478 shiro升级1.12.0报错类文件具有错误的版本 61.0, 应为 52.0

已于 2023-09-20 10:10:49 修改
阅读量728 收藏
点赞数
分类专栏: 部署相关 文章标签: 安全 java
于 2023-09-15 10:33:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tabvla/article/details/132887724
版权

第二次遇到这个问题,因为两次情况都有点诡异所以记录一下,不一定具备普遍性,仅供参考。

遇到这个问题的前提是shiro需要升级,从1.10.0到1.12.0,pom.xml中代码如下:

<!-- Shiro -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.12.0</version>
</dependency>

升级后系统无法正常编译,一些毫不相干的文件开始报错:类文件具有错误的版本 61.0, 应为 52.0 请删除该文件或确保该文件位于正确的类路径

在这些报错文件中查看具体报错位置,发现他们指向org.springframework相关依赖包6.0.10,尝试将报错头文件的依赖包指向改回5.x版本,并在Maven Repository中删除6.0.10相关包,未果。

想起之前遇到类似报错,是因为有个别springframework相关依赖的版本指定为RELEASE,导致版本过高引起类似错误,全局搜索pom.xml中的RELEASE,将其改为固定版本,此处为避免报错,选择了之前确定正常使用的5.3.23:

再次确认Maven Repository中6.0.10已经全部删除,重新编译,然后诡异场景出现了,万恶之源的6.0.10回来了……

此时处于一筹莫展的状态随手Beyond Compare比较了一下上次可用系统代码和此时的代码区别,发现本地代码的pom.xml文件中出现了并非自己添加的一段:

很明显,每次编译后会冒出来的6.0.10是因为这段并非我自己添加的引用依赖代码(应该是不相干的代码在报错找不到版本的时候自动关联添加的),删除这个,再次删除Maven Repository中所有的6.0.10,果然,编译成功,一切正常。

tabvla
关注
专栏目录
升级Shiro后项目运行报错提示循环调用
qq_41273137的博客
07-27 925
由于在XXXXService Impl中调用了YYYYService,在YYYYService Impl中又调用了了XXXXService。所以项目在启动的时候报上面的错误。添加 @Lazy 注解。
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
Shiro1.7.1升级注意
weixin_45107057的博客
02-07 6815
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shiro和spring的用户都需升级到最新的shiro-1.7.1版本。 由于shiro的api没有大的改变,即使是从jspxcms-8.5版本shiro-1.3.2也可顺利升级shiro-1.7.1。升级方式如下: 将/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。 将shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是
springboot2.7+shiro1.13升级springboot3.1
最新发布
jshuze的博客
08-16 209
1、jdk从1.8升到17,我是从oracle jdk1.8改成了Adoptium.jdk-17,基本没有影响。(1)servlet的包名从javax改为了jakarta,只是包名修改,其它没有影响。(2)有用到它的Md5Hash的,需要改一下,换成SimpleHash。(1)pom修改,由于直接2.0中很多包依然还是引用javax.servlet,因此大概调成这样。5、其它的暂时没发现什么,看着好像也没改啥,但还是折腾了半天,累死个人……3、shiro的修改,我是从1.13升级2.0.1。
有关shiro升级方法
热门推荐
wuxs的专栏
11-01 1万+
今年的护网行动,攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(CSDN中的好多用户都是上传到博客中,但一下载就收费,感觉很不好) 下载地址:(Maven库) https://mvnrepository.com/artifact/org.apache.shiro/shiro-core 关于应该升级哪些东西,经过测试有以下内容:(以升级到1.7版本为例) shiro-core-1.7.0.jar shiro-web-1.7.0
Shiro升级到1.7.x
m0_67393342的博客
03-28 859
升级步骤 原先的代码没有作修改,只是在pom.xml文件中引入了新的依赖 依赖下载地址:Maven库 需要引入的依赖如下: shiro-core-1.7.0.jar shiro-web-1.7.0.jar shiro-ehcache-1.7.0.jar commons-beanutils-1.9.4.jar encoder-1.2.2.jar 具体的依赖文本 org.apache.shiro shiro-web 1.7.1 org.apache.
shiro1.4.0升级为1.10.0方案
weixin_50167266的博客
08-14 1709
ERROR 500.jsp[148] - Filtered request failed. javax.servlet.ServletException: Filtered request failed.
shiro升级quartz到2.1.6版本
nonobabaya的博客
07-20 1438
在做老司机的项目时,spring使用的是4.2.1版本shiro用的是1.2.3,但是,spring扩展中 spring-context使用的quartz2的版本, 而shiro到现在还是使用的quartz1.6.1版本,所以,把spring降下来是不可能了,因为很多扩展都给予spring4,所以想把shiro升上去 是最好的解决方法,综合了网上升级spring的方法,使用以下方式升级shi...
Citrix ADC(CVE-2023-3519)版本升级
07-27
总的来说,这个Citrix ADC的版本升级包旨在修复CVE-2023-3519安全漏洞,通过提供多个固件版本的更新,适用于不同环境的设备。同时,证书文件的更新确保了系统在通信时的安全性和信任链的完整。为了保护您的 Citrix ...
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 https://github.com/feihong-cs/ShiroExploit_GUI/releases 反序列化漏洞是如何产生的? shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/) 反序列化漏洞解决思路 从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级到1.2.5版本或以上 那么在我的项目中,选择的是升级版本到1.2.6。大家有同样问题的可以选择试一下希望大家也能像我一样解决;
shiro所有版本jar
04-03
shiro所有的jar包 还有跟cas集成的jar包 以及shiro官网的jar下载地址
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
0、重点!重点!配套文档地址https://blog.csdn.net/qq_35867875/article/details/125998233?spm=1001.2014.3001.5502 1、本教程适用所有开发人员简单易懂,结合文章教程与demo示例。 2、技术选型(全部目前最新版本) springboot、shiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成spring等优点。可以用来用户验证、用户授权、用户session管理、安全加密等 5、基于RBAC五张表:用户表 tb_user、角色表tb_role、权限表tb_permission、用户角、表tb_user_role、角色权限tb_role_permissio
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行未授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
shiro最新版本 1.6.0登录bug修复
08-22 7607
2020年8月17日,shiro发布了1.6.0版本,修复了绕过认证的bug。但实际升级后,使用中发现第一次打开浏览器访问时会出现Invalid request。具体错误提示如下: 降级到1.4.2时是可以正常登录的,反复试验几次,确定是升级shiro版本引起,阅读shiro 1.6.0源码,发现shiro引入了InvalidRequestFilter过滤器,目的是验证url上是否有恶意伪造的特殊字符。但这个也正好将登录url拼接的 ;jsessionId=xxx 也一起拦截了,结果就出现了.
shiro从1.6.0升级到1.7.1版本,请求路径中带有中文接口报400
weixin_43779793的博客
07-22 1420
shiro从1.6升级到1.7,请求路径中有中文接口报400
shiro1.3升级shiro-all-1.6.0报错 org/owasp/encoder/Encode或者是org.owasp.encoder.Encode
七亿少女的梦
09-14 3466
是因为缺少encoder这个jar包 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 这个地址直接下载,放入项目中,项目成功启动 最后附上:https://mvnrepository.com/artifact/org.apache.shiro/shiro-core shiro的最新包下载地址 ...
apache shiro怎么升级_极简教程:Spring Boot 整合 Shiro
weixin_39531992的博客
11-26 484
Shiro 概述Apache Shiro 是一款 Java 安全框架,不依赖任何容器,可以运行在 Java SE 和 Java EE 项目中,它的主要作用是用来做身份认证、授权、会话管理和加密等操作。什么意思?大白话就是判断用户是否登录、是否拥有某些操作的权限等。其实不用 Shiro,我们使用原生 Java API 就可以完成安全管理,很简单,使用过滤器去拦截用户的各种请求,然后判断是否登录、是否...
卡巴斯基揭示CVE-2023-28252 Windows越界写入漏洞
资源摘要信息:"CVE-2023-28252是一个越界写入漏洞,存在于clfs.sys(通用日志文件系统驱动程序)中。卡巴斯基披露了这个在野0day提权漏洞,它允许攻击者获取Windows中的system权限——Windows的最高用户权限级别。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值