RuoYi 4.3.1 发布,请及时更换默认秘钥
若依管理系统 v4.3.1已发布,更新日志: 国家信息安全漏洞(防止命令执行漏洞,请务必保持cipherKey密钥唯一性) 升级shiro到最新版1.5.3 阻止权限绕过漏洞 修改验证码在使用后清除,防止多次使用 检查字符支持小数点&降级改成异常提醒 openOptions函数中加入自定义maxmin属性 支持openOptions方法最大化 支持openOptions方法多个按钮回调 新增isLinkage支持页签与菜单联动 修改代码生成导入表结构出现异常页面不提醒问题 优化用户头像发生错误,则显示一个默认头像 Excel导出支持字典类型 命令执行漏洞RuoYi <= v4.3.0 若依管理系统使用了Apache Shiro,Shiro 提供了记住我(RememberMe)的功能,下次访问时无需再登录即可访问。系统将密钥硬编码在代码里,且在官方文档中并没有强调修改该密钥,导致框架使用者大多数都使用了默认密钥。攻击者可以构造一个恶意的对象,并且对其序列化、AES加密、base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解...
