Apache Shiro权限绕过漏洞...

2021/2/10 15:29:39

Apache Shiro官方披露了一个认证权限绕过漏洞,攻击者可发送特定HTTP请求绕过权限限制,获取敏感权限。

Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告

Apache Shiro官方披露了一个认证权限绕过漏洞,攻击者可发送特定HTTP请求绕过权限限制,获取敏感权限。

1漏洞描述

Apache Shiro 1.7.0之前的版本,当与Spring结合使用时,攻击者可发送特定HTTP请求导致验证绕过,获取敏感权限。

Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。

2漏洞编号

CVE-2020-17523

3漏洞等级

中危,需结合Spring使用环境。

4受影响的版本

Apache Shiro < 1.7.1版本

5安全版本

Apache Shiro 1.7.1 或更新版本

6Apache Shiro组件全球应用概况

Apache Shiro组件全球应用广泛,中国占比最高(33.75%)、其次是美国(22.85%)、阿联酋(6.83%)。在中国大陆地区,浙江、北京、广东、上海四省市位居前列,占比超过70%。

7漏洞修复建议

官方已发布漏洞修复更新,安全专家建议:

1)检查是否受影响:确认是否使用到Spring,如未使用到,则不受影响;

2)如在受影响范围,建议升级到【安全版本】。

来源:腾讯安全威胁情报中心