• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 中間件
  • -
    • Apache Shiro權限繞過漏洞
    • CNNVD編號:未知
    • 危害等級: 中危 
    • CVE編號:CVE-2020-17523
    • 漏洞類型: 繞過登錄驗證
    • 威脅類型:遠程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-02-05
    • 更新時間:2021-02-05

    漏洞簡介

    1、組件介紹

    Apache Shiro是一個功能強大且易于使用的Java安全框架,功能包括身份驗證、授權、加密和會話管理。使用Shiro的API,可以輕松地、快速地保護任何應用程序,范圍從小型的移動應用程序到大型的Web和企業(yè)應用程序。內置了可以連接大量安全數據源(又名目錄)的Realm,如LDAP、關系數據庫(JDBC)、類似INI的文本配置資源以及屬性文件等。

    2、漏洞描述
    2021年2月1日,深信服安全團隊監(jiān)測到一則Apache Shiro組件存在權限繞過漏洞的信息,漏洞編號:CVE-2020-17523,漏洞危害:中危。該漏洞是由于Apache Shiro與Spring結合使用時,攻擊者可以發(fā)送特定的HTTP請求繞過驗證,獲取敏感權限。

    漏洞公示

    搭建Apache Shiro組件1.7.0版本環(huán)境,復現該漏洞,效果如下:

    正常訪問:

    漏洞利用:

    參考網站

    暫無

    受影響實體

    Apache Shiro是一個功能強大且易于使用的Java安全框架,功能包括身份驗證,授權,加密和會話管理。全球約有兩萬臺服務器使用了該框架,中國地區(qū)占比60%以上,主要集中在浙江、廣東、北京等地??赡苁苈┒从绊懙馁Y產分布于世界各地。


    目前受影響的Apache Shiro版本:

    Apache Shiro < 1.7.1

    補丁

    1、官方修復建議

    前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。最新版下載地址:

    https://github.com/apache/shiro/tree/master

    https://shiro.apache.org/download.html

    2、臨時修復建議

    使用shiro配置路徑攔截規(guī)則時盡量避免使用單*匹配。