2020年8月17日,Apache Shiro官方发布安全更新,修复了一个最新权限绕过漏洞。攻击者利用该漏洞可以绕过验证访问到后台功能,风险较高。
漏洞描述
Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。近日,shiro被爆出Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989),攻击者可以使用包含payload的恶意请求绕过Shiro的身份认证,漏洞于1.5.3修复。实际上,这个修复并不完全,由于shiro在处理url时与spring仍然存在差异,shiro最新版仍然存在身份校验绕过漏洞。2020年8月17日,Apache Shiro发布1.6.0版本修复该漏洞绕过。
影响版本
Apache Shiro < 1.6.0
安全版本
Apache Shiro >= 1.6.0
http://shiro.apache.org/download.html
相关链接
https://shiro.apache.org/news.html
原文链接:Apache Shiro < 1.6.0 权限绕过漏洞(CVE-2020-13933),转载请注明来源!