【高危】- Apache Shiro权限绕过漏洞风险通告(CVE-2020-17510)
■ 漏洞描述
Apache Shiro 是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码和会话管理。
由于 Shiro 在处理 url 时与 Spring 存在差异,在使用 Apache Shiro 与 Spring 时,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。
■ 影响范围
Apache:Shiro : < 1.7.0
■ 漏洞检测
匹配系统版本
■ 漏洞修复
升级到最新版本,下载地址如下:https://shiro.apache.org/download.html
■ 临时修复
限制公网访问。
■ 漏洞详情
https://cert.360.cn/warning/detail?id=bef09a8abc4082f158fdec3a77c3a4ca
Apache Shiro 是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码和会话管理。
由于 Shiro 在处理 url 时与 Spring 存在差异,在使用 Apache Shiro 与 Spring 时,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。
■ 影响范围
Apache:Shiro : < 1.7.0
■ 漏洞检测
匹配系统版本
■ 漏洞修复
升级到最新版本,下载地址如下:https://shiro.apache.org/download.html
■ 临时修复
限制公网访问。
■ 漏洞详情
https://cert.360.cn/warning/detail?id=bef09a8abc4082f158fdec3a77c3a4ca