​CVE-2020-13933 | Apache Shiro身份验证绕过漏洞通告

  • A+
所属分类:安全文章

0x00 漏洞概述


CVE   ID

CVE-2020-13933

时     间

2020-08-18

类     型


等     级

高危

远程利用

影响范围

Apache  Shiro < 1.6.0


0x01 漏洞详情


​CVE-2020-13933 | Apache Shiro身份验证绕过漏洞通告

2020年6月22日,Apache官方发布公告,修复了一个Apache Shiro身份验证绕过漏洞(CVE-2020-11989),攻击者可通过构造恶意请求利用该漏洞来绕过身份验证,并发布1.5.3版本。但这个修复并不完全,由于shiro在处理url时与spring仍然存在差异,shiro最新版仍然存在身份验证绕过漏洞。2020年8月17日,Apache官方再次发布公告,进一步修复Apache Shiro身份验证绕过漏洞(CVE-2020-13933),并发布1.6.0版本。


0x02 处置建议


   官方已发布新版本,请升级到1.6.0版本,下载地址:

http://shiro.apache.org/download.html


0x03 相关新闻


https://www.tenable.com/cve/CVE-2020-13933


0x04 参考链接


https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E


0x05 时间线


2020-08-17 Apache官方发布公告

2020-08-18 VSRC发布漏洞通告

 

 

​CVE-2020-13933 | Apache Shiro身份验证绕过漏洞通告


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: