漏洞名称 : Apache Shiro权限绕过漏洞 CVE-2020-17523
组件名称 : Apache Shiro
威胁等级 : 中危
影响范围 : Apache Shiro < 1.7.1
漏洞类型 : 绕过登录验证
利用条件 : 1、用户认证:不需要用户认证
2、触发方式:远程
造成后果 : 当Apache Shiro与Spring结合使用时,远程攻击者可以发送特定的HTTP请求绕过认证,获取敏感权限。如果没有使用到Spring则不受此漏洞影响。
漏洞分析
1 组件介绍
Apache Shiro是一个功能强大且易于使用的Java安全框架,功能包括身份验证、授权、加密和会话管理。使用Shiro的API,可以轻松地、快速地保护任何应用程序,范围从小型的移动应用程序到大型的Web和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。
2 漏洞描述
2021年2月1日,深信服安全团队监测到一则Apache Shiro组件存在权限绕过漏洞的信息,漏洞编号:CVE-2020-17523,漏洞危害:中危。该漏洞是由于Apache Shiro与Spring结合使用时,攻击者可以发送特定的HTTP请求绕过验证,获取敏感权限。
3 漏洞复现
搭建Apache Shiro组件1.7.0版本环境,复现该漏洞,效果如下:
正常访问:
漏洞利用:
影响范围
Apache Shiro是一个功能强大且易于使用的Java安全框架,功能包括身份验证,授权,加密和会话管理。全球约有两万台服务器使用了该框架,中国地区占比60%以上,主要集中在浙江、广东、北京等地。可能受漏洞影响的资产分布于世界各地。
目前受影响的Apache Shiro版本:
Apache Shiro < 1.7.1
解决方案
1 如何检测组件系统版本
方法一:在集成环境中查看:
1.7.0即为版本号。
方法二:找到shiro的jar包,后面的包名中*.*.*即为版本号,如:
其中1.7.1为版本号。
2 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。最新版下载地址:
https://github.com/apache/shiro/tree/master
https://shiro.apache.org/download.html
3 临时修复建议
使用shiro配置路径拦截规则时尽量避免使用单*匹配。
时间轴
2021/2/1 Apache Shiro官方发布安全公告。
2021/2/1 深信服千里目安全实验室监测到Apache Shiro漏洞攻击信息并发布漏洞通告。
2021/2/3 深信服千里目安全实验室分析、复现该漏洞并发布二次通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):【漏洞更新】Apache Shiro权限绕过漏洞 (CVE-2020-17523)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论