【漏洞更新】Apache Shiro权限绕过漏洞 (CVE-2020-17523)

  • A+
所属分类:安全漏洞

漏洞名称Apache Shiro权限绕过漏洞 CVE-2020-17523

组件名称 : Apache Shiro

威胁等级 :

影响范围 Apache Shiro < 1.7.1

漏洞类型 绕过登录验证

利用条件 : 1、用户认证:不需要用户认证

2、触发方式:远程

造成后果 : 当Apache Shiro与Spring结合使用时,远程攻击者可以发送特定的HTTP请求绕过认证,获取敏感权限。如果没有使用到Spring则不受此漏洞影响。


漏洞分析


组件介绍

Apache Shiro是一个功能强大且易于使用的Java安全框架,功能包括身份验证、授权、加密和会话管理。使用Shiro的API,可以轻松地、快速地保护任何应用程序,范围从小型的移动应用程序到大型的Web和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。


2 漏洞描述

2021年2月1日,深信服安全团队监测到一则Apache Shiro组件存在权限绕过漏洞的信息,漏洞编号:CVE-2020-17523,漏洞危害:中危。该漏洞是由于Apache Shiro与Spring结合使用时,攻击者可以发送特定的HTTP请求绕过验证,获取敏感权限。


漏洞复现

搭建Apache Shiro组件1.7.0版本环境,复现该漏洞,效果如下:

正常访问:

【漏洞更新】Apache Shiro权限绕过漏洞 (CVE-2020-17523)

漏洞利用:

【漏洞更新】Apache Shiro权限绕过漏洞 (CVE-2020-17523)



影响范围


Apache Shiro是一个功能强大且易于使用的Java安全框架,功能包括身份验证,授权,加密和会话管理。全球约有两万台服务器使用了该框架,中国地区占比60%以上,主要集中在浙江、广东、北京等地。可能受漏洞影响的资产分布于世界各地。


目前受影响的Apache Shiro版本:

Apache Shiro < 1.7.1


解决方案


如何检测组件系统版本

方法一:在集成环境中查看:

【漏洞更新】Apache Shiro权限绕过漏洞 (CVE-2020-17523)

1.7.0即为版本号。


方法二:找到shiro的jar包,后面的包名中*.*.*即为版本号,如:

【漏洞更新】Apache Shiro权限绕过漏洞 (CVE-2020-17523)

其中1.7.1为版本号。


官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。最新版下载地址:

https://github.com/apache/shiro/tree/master

https://shiro.apache.org/download.html


临时修复建议

使用shiro配置路径拦截规则时尽量避免使用单*匹配。


时间轴


2021/2/1  Apache Shiro官方发布安全公告。

2021/2/1  深信服千里目安全实验室监测到Apache Shiro漏洞攻击信息并发布漏洞通告。

2021/2/3  深信服千里目安全实验室分析、复现该漏洞并发布二次通告。




点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞更新】Apache Shiro权限绕过漏洞 (CVE-2020-17523)


深信服千里目安全实验室

【漏洞更新】Apache Shiro权限绕过漏洞 (CVE-2020-17523)

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们



本文始发于微信公众号(深信服千里目安全实验室):【漏洞更新】Apache Shiro权限绕过漏洞 (CVE-2020-17523)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: