Shiro

Die Schwachstelle betrifft Apache Shiro, ein verbreitetes Sicherheits-Framework für Java-Anwendungen, das unter anderem Authentifizierung und Zugriffssteuerung übernimmt. Der Fehler liegt in der „Remember-Me"-Funktion, mit der angemeldete Sitzungen über die Anmeldung hinaus gespeichert werden. Wenn für diese Funktion kein eigener Verschlüsselungsschlüssel festgelegt wurde, lässt sich der zugehörige Datenwert manipulieren: Ein Angreifer kann aus der Ferne und ohne gültige Zugangsdaten einen präparierten Anfrageparameter übermitteln. Dadurch kann er entweder beliebigen Programmcode auf dem System ausführen oder die vorgesehenen Zugriffsbeschränkungen umgehen und sich so unautorisiert Rechte verschaffen. Betroffen sind Anwendungen, die Shiro mit aktivierter „Remember-Me"-Funktion einsetzen, ohne einen sicheren Schlüssel konfiguriert zu haben. Da die Manipulation allein über einen Anfrageparameter erfolgt, ist der Angriff ohne besonderen Aufwand und ohne vorherige Anmeldung möglich.