关于Apache Shiro权限绕过漏洞 (CVE-2020-17523)的安全预警

发布者:戚腾飞发布时间:2021-02-01浏览次数:13

近期接网络安全厂商安全通报,Apache Shiro组件存在权限绕过漏洞的信息(漏洞编号:CVE-2020-17523),漏洞危害为中危,该漏洞是由于Apache Shiro与Spring结合使用时,攻击者可以发送特定的HTTP请求绕过验证而获取敏感权限,存在较明显的安全隐患,请使用Apache Shiro组件的师生用户及时修补该漏洞,避免被恶意用户利用

该漏洞详情和处置措施如下:

影响范围:

目前受影响的Apache Shiro版本:Apache Shiro < 1.7.1

漏洞详情:

Apache Shiro是一个功能强大且易于使用的Java安全框架,功能包括身份验证、授权、加密和会话管理,具有较广泛的应用。该漏洞是由于Apache Shiro与Spring结合使用时,攻击者可以发送特定的HTTP请求绕过验证,获取敏感权限。

处置措施:

如何检测组件系统版本:在config\pom.xml的version标签中可以查看版本号。

官方修复建议:当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。最新版下载地址:

https://github.com/apache/shiro/tree/master


相关来源: 深信服千里目安全实验室