Vulnerabilidad de Path Traversal en Apache Shiro

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Apache Shiro, que permitiría a un atacante realizar omisión de autenticación y obtener acceso no autorizado a información confidencial. 

La vulnerabilidad identificada como CVE-2023-34478, sin severidad ni puntuación asignada aún. Esta vulnerabilidad del tipo Path Traversal se debe a una falla de seguridad en la gestión de archivos Apache Shiro. Esto permitiría a un atacante a través del envío de una solicitud especialmente diseñada, realizar omisión de autenticación y obtener acceso no autorizado a información confidencial del sistema afectado al ser utilizado en conjunto con APIs y otros frameworks webs que enrutan peticiones basadas en peticiones no normalizadas. 

El producto afectado es: 

• Apache Shiro, versiones anteriores a 1.12.0 o 2.0.0-alpha-3. 

Se recomienda acceder a las actualizaciones proporcionadas por el fabricante en el siguiente enlace: 

• https://shiro.apache.org/download.html 

Referencias: 

• https://securityonline.info/cve-2023-34478-apache-shiro-path-traversal-vulnerability/ 
• https://nvd.nist.gov/vuln/detail/CVE-2023-34478 
• https://shiro.apache.org/blog/2023/07/18/apache-shiro-1120-released.html 
• https://shiro.apache.org/download.html