Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告

2021-02-01 09:47:30
Apache Shiro官方披露了一个认证权限绕过漏洞,攻击者可发送特定HTTP请求绕过权限限制,获取敏感权限。

Apache Shiro官方披露了一个认证权限绕过漏洞,攻击者可发送特定HTTP请求绕过权限限制,获取敏感权限。

 

漏洞详情:

Apache Shiro 1.7.0之前的版本,当与Spring结合使用时,攻击者可发送特定HTTP请求导致验证绕过,获取敏感权限。

Apache Shiro 是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。

 

漏洞编号:

CVE-2020-17523


漏洞等级:

中风险,需结合Spring使用环境。

 

影响版本:

Apache Shiro < 1.7.1版本

 

安全版本:

Apache Shiro 1.7.1 或更新版本

 

腾讯安全网络空间测绘:

腾讯安全网络空间测绘结果显示,Apache Shiro组件全球应用广泛,中国占比最高(33.75%)、其次是美国(22.85%)、阿联酋(6.83%)。在中国大陆地区,浙江、北京、广东、上海四省市位居前列,占比超过70%。

腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。

 

修复建议:

官方已发布漏洞修复更新,腾讯安全专家建议:

1)检查是否受影响:确认是否使用到Spring,如未使用到,则不受影响;

2)如在受影响范围,建议升级到【安全版本】。

 

提醒:升级前注意备份,避免意外。

 

参考链接:

https://lists.apache.org/thread.html/r13fe9ddc4ebdbf17db22cf1dd2776144bf9fdbfbdf2887a0385538aa%40%3Ccommits.shiro.apache.org%3E



扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯