漏洞描述
ShenYu(原名 Soul)是一款高性能,响应式的网关,同时也是应用于所有微服务场景的,可扩展、高性能、响应式的 API网关解决方案。该框架由于JWT认证的不正确使用,导致Apache ShenYu2.3.0和2.4.0版本存在管理员认证绕过漏洞CVE-2021-37580。使用默认key+admin即可绕过jwt的认证
Apache ShenYu JWT身份绕过(CVE-2021-37580)
PoC代码
暂无相关漏洞推荐
- POC CVE-2021-37580: Apache ShenYu Admin JWT - Authentication Bypass
- POC CVE-2022-23944: Apache ShenYu Admin Unauth Access
- POC CVE-2021-37580: Apache ShenYu Admin JWT authentication bypass
- POC CVE-2022-23944: Apache ShenYu Admin Unauth Access
- Apache ShenYu CVE-2022-23944 信息泄露漏洞
- Apache Shenyu存在任意用户添加漏洞
- APACHE SHENYU2.4.0/2.4.1 API/PLUGIN 权限升级(CVE-2022-23944)
- Apache ShenYu未授权访问漏洞
- Apache ShenYu 后台存在默认口令