发布日期：2026-03-11
更新日期：2026-06-16

受影响系统：

go-fastdfs-web go-fastdfs-web <= 1.3.7

描述：

---

CVE(CAN) ID: CVE-2026-3963

go-fastdfs-web是Perfree个人开发者的一个分布式文件存储系统的Web管理平台。
go-fastdfs-web 1.3.7及之前版本存在硬编码加密密钥使用漏洞，该漏洞源于Shiro开启记住我功能时，加密/解密 RememberMe Cookie的AES密钥在代码中写死，未提供自定义配置项，所有部署实例共用同一固定密钥，攻击者可利用该漏洞构造管理员RememberMe Cookie，无需账号密码直接登录后台。

<**>

建议：

---

厂商补丁：

go-fastdfs-web
--------------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://www.notion.so/go-fastdfs-web-Hardcoded-Apache-Shiro-Cipher-Key-reach-RCE-313ea92a3c41806fae44dffe53e69751

浏览次数：53
严重程度：0（网友投票）