漏洞预警 | Apache Shiro权限绕过漏洞通告(CVE-2020-13933)

  • A+
所属分类:安全新闻

漏洞预警 | Apache Shiro权限绕过漏洞通告(CVE-2020-13933)

漏洞背景

山石网科安全研究院监测发现Apache Shiro官网发布了CVE-2020-13933的漏洞通告,1.6.0版本之前的Apache Shiro,在使用时发送特制的HTTP请求可能会导致身份验证绕过。漏洞等级为高危。我们强烈建议广大用户升级到最新版本。

漏洞详情

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

CVE-2020-11989的修复补丁存在缺陷,由于shiro在处理url时与spring存在差异,处理身份验证请求时出错导致依然存在份校验绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。


影响版本

  • Apache Shiro < 1.6.0

解决方案

Apache Shiro官方网已发布最新版本。

参考信息

https://shiro.apache.org/security-reports.html

https://shiro.apache.org/download.html



山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月,是山石网科的信息安全智库部门,其前身是原安全服务部下的安全研究团队。山石安研院整体架构包括干将、莫邪两大安全实验室,以及安全预警分析、高端攻防培训两支独立的技术团队。安研院主要负责反APT跟踪和研究、出战及承办全球攻防赛事、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。


自2015年以来为多省公安厅提供技术支撑工作,为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩,网安中国行第一名,连续两届红帽杯冠军、网鼎杯线上第一名,在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩,每年获得大量的CNVD、CNNVD、CVE证书或编号。


如需帮助请咨询 [email protected]


漏洞预警 | Apache Shiro权限绕过漏洞通告(CVE-2020-13933)


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: