Apache Shiro權(quán)限繞過漏洞 - 山西鑫鼎宸科技股份有限公司

我的位置：

Apache Shiro權(quán)限繞過漏洞

CNNVD編號(hào)：CVE-2021-41303
危害等級(jí)：中危
CVE編號(hào)：未知
漏洞類型：繞過登錄驗(yàn)證
威脅類型：遠(yuǎn)程
廠商：未知
漏洞來源：深信服
發(fā)布時(shí)間：2021-09-18
更新時(shí)間：2021-09-26

漏洞簡介

1、組件介紹

Apache Shiro是一個(gè)功能強(qiáng)大且易于使用的Java安全框架，功能包括身份驗(yàn)證、授權(quán)、加密和會(huì)話管理。使用Shiro的API，可以輕松地、快速地保護(hù)任何應(yīng)用程序，范圍從小型的移動(dòng)應(yīng)用程序到大型的Web和企業(yè)應(yīng)用程序。內(nèi)置了可以連接大量安全數(shù)據(jù)源（又名目錄）的Realm，如LDAP、關(guān)系數(shù)據(jù)庫（JDBC）、類似INI的文本配置資源以及屬性文件等。

2、漏洞描述

2021年9月17日，深信服安全團(tuán)隊(duì)監(jiān)測到一則Apache Shiro組件存在權(quán)限繞過漏洞的信息，漏洞編號(hào)：CVE-2021-41303，漏洞危害：中危。

該漏洞是由于Apache Shiro與Spring結(jié)合使用時(shí)存在繞過問題，攻擊者可利用該漏洞在未授權(quán)的情況下，使用精心構(gòu)造的HTTP 請求繞過登錄驗(yàn)證，最終造成服務(wù)器敏感性信息泄露。