CVE-2020-17510| Apache Shiro身份验证绕过漏洞通告

2020年11月4日10:51:16评论82 views字数 685阅读2分17秒阅读模式

0x00 漏洞概述

CNVD ID	CVE-2020-17510	时间	2020-11-03
类型	身份验证绕过	等级	高危
远程利用	是	影响范围	Apache Shiro <1.7.0

Apache Shiro是一个强大且易用的Java安全框架,其支持身份验证、授权、密码和会话管理等。使用Shiro的API,可以快速、轻松地获得任何应用程序。

0x01 漏洞详情

CVE-2020-17510| Apache Shiro身份验证绕过漏洞通告

2020年10月30日，Apache Shiro发布1.7.0版本，修复了 Apache Shiro 身份验证绕过漏洞 (CVE-2020-17510)。当Apache Shiro与Spring结合使用时，攻击者可以使用恶意HTTP请求来绕过Shiro的身份认证。成功利用此漏洞的攻击者可以访问后台功能，安全风险较高。

0x02 处置建议

建议及时更新至安全版本。

下载地址：

https://shiro.apache.org/download.html

0x03 参考链接

https://www.mail-archive.com/[email protected]/msg05870.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17510

0x04 时间线

2020-10-30 Apache Shiro发布更新

2020-11-03 VSRC发布安全通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

本文始发于微信公众号（维他命安全）：CVE-2020-17510| Apache Shiro身份验证绕过漏洞通告

左青龙
微信扫一扫

右白虎
微信扫一扫

CVE-2020-17510| Apache Shiro身份验证绕过漏洞通告

0x00 漏洞概述

0x01 漏洞详情

0x02 处置建议

0x03 参考链接

0x04 时间线

0x05 附录

【在野0day】某友CRM系统某接口存在任意文件下载（大量资产存在）

【漏洞复现】短视频矩阵营销系统 ajax_uplaod接口处存在任意文件上传

漏洞速递 | Microsoft微软最新RCE漏洞（附EXP）

通达OA down 未授权员工信息泄露漏洞

漏洞预警 | FFmpeg释放后使用漏洞

漏洞预警 | Telegram Windows客户端可执行文件限制不当漏洞

漏洞预警 | 睿贝外贸ERP任意文件读取漏洞

漏洞预警 | 易宝OA系统SQL注入漏洞

Primeton EOS Platform jmx反序列化致远程代码执行漏洞

【已复现】CrushFTP 服务器端模板注入漏洞(CVE-2024-4040)安全风险通告

发表评论

在线咨询

微信