CVE-2021-37580

Apache ShenYu Admin爆出身份验证绕过漏洞，攻击者可通过该漏洞绕过JSON Web Token (JWT)安全认证，直接进入系统后台。 Apache ShenYu 是应用于所有微服务场景的，可扩展、高性能、响应式的 API 网关解决方案。 Apache ShenYu Admin 存在身份验证绕过漏洞。 ShenyuAdminBootstrap 中 JWT 的错误使用允许攻击者绕

A vulnerability scanner that detects CVE-2021-37580 vulnerabilities.

westone-CVE-2021-37580-scanner Apache Shenyu is an extensible, high-performance and responsive API gateway solution applied to all micro service scenarios An authentication bypass vulnerability exists in Apache Shenyu admin The improper use of JWT in Shenyu admin bootstrap allows an attacker to bypass authentication, and the attacker can directly enter the system background t

Apache ShenYu 管理员认证绕过

CVE-2021-37580 Apache ShenYu 管理员认证绕过

CVE-2021-37580的poc

CVE-2021-37580 CVE-2021-37580 的 poc 0x00 漏洞原理 漏洞原理：# Apache ShenYu Admin bypass JWT authentication CVE-2021-37580 0x01 单个url Usage: python3 CVE-2021-37580py -u url -n usernametxt shenyu-admin-240的，有漏洞的如下： shenyu-admin-241的，没有漏洞的如下： 0x02 批量url检测 Usage: python3 C

Apache_ShenYu_Admin

Apache_ShenYu_Admin Apache_ShenYu_Admin CVE-2021-37580 编写语言：python3 部分代码展示 from urllibparse import urljoin import re,jwt,time from pocsuite3api import POCBase, Output, register_poc, logger, requests, OptDict,OptString, VUL_TYPE from pocsuite3api import REVERSE_PAYLOAD, POC_CATEGORY from pocsuite3libcoreenums import HTTP_HEADER class POC(POCBase):

Hi there 👋 About Me 🐼 前奇安信某实验室成员 🐱 擅长代码审计 java/go/python 🐶 CVE-2020-1947(Apache ShardingShpere RCE) CVE-2020-1952(Apache IotDb RCE) CVE-2020-11974(Apache DolphinScheduler RCE) CVE-2021-37580(Apache ShenYu Auth Bypass) 🐻 目前就职于甲方安全建设与安全开发 🐒 时不时写点文章或者一些工具

漏洞学习

vul 漏洞学习 主要是学习的各种漏洞的相关文件和资源 CVE-2020-2551 CVE-2021-37580

CVE-2021-37580 支持单独和批量验证CVE-2021-37580漏洞 单个url检测： 文件批量验证：

CVE-2021-37580

CVE-2021-37580 CVE-2021-37580 帮助 python CVE-2021-37580py 11131