• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 其他
  • -
    • Apache Shiro權限繞過漏洞
    • CNNVD編號:未知
    • 危害等級: 中危 
    • CVE編號:CVE-2020-17523
    • 漏洞類型: 繞過登錄驗證
    • 威脅類型:遠程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-02-02
    • 更新時間:2021-02-02

    漏洞簡介

    1、組件介紹

    Apache Shiro是一個功能強大且易于使用的Java安全框架,功能包括身份驗證、授權、加密和會話管理。使用Shiro的API,可以輕松地、快速地保護任何應用程序,范圍從小型的移動應用程序到大型的Web和企業(yè)應用程序。內置了可以連接大量安全數(shù)據(jù)源(又名目錄)的Realm,如LDAP、關系數(shù)據(jù)庫(JDBC)、類似INI的文本配置資源以及屬性文件等。

    2、漏洞描述
    2021年2月1日,深信服安全團隊監(jiān)測到一則Apache Shiro組件存在權限繞過漏洞的信息,漏洞編號:CVE-2020-17523,漏洞危害:中危。該漏洞是由于Apache Shiro與Spring結合使用時,攻擊者可以發(fā)送特定的HTTP請求繞過驗證,獲取敏感權限。

    漏洞公示

    暫無

    參考網站

    暫無

    受影響實體

    Apache Shiro是一個功能強大且易于使用的Java安全框架,功能包括身份驗證、授權、加密和會話管理。全球約有兩萬臺服務器使用了該框架,中國地區(qū)占比60%以上,主要集中在浙江、廣東、北京等地。可能受漏洞影響的資產分布于世界各地。


    目前受影響的Apache Shiro版本:

    Apache Shiro < 1.7.1

    補丁

    1、如何檢測組件系統(tǒng)版本

    在config\pom.xml的version標簽中可以查看版本號。

    2、官方修復建議

    當前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。最新版下載地址:

    https://github.com/apache/shiro/tree/master