​CVE-2020-13933 | Apache Shiro身份验证绕过漏洞通告

admin
admin
admin
101955
文章
87
评论
2020年8月19日10:50:43评论314 views字数 639阅读2分7秒阅读模式

0x00 漏洞概述


CVE   ID

CVE-2020-13933

时     间

2020-08-18

类     型

等     级

高危

远程利用

影响范围

Apache  Shiro < 1.6.0


0x01 漏洞详情


​CVE-2020-13933 | Apache Shiro身份验证绕过漏洞通告

2020年6月22日,Apache官方发布公告,修复了一个Apache Shiro身份验证绕过漏洞(CVE-2020-11989),攻击者可通过构造恶意请求利用该漏洞来绕过身份验证,并发布1.5.3版本。但这个修复并不完全,由于shiro在处理url时与spring仍然存在差异,shiro最新版仍然存在身份验证绕过漏洞。2020年8月17日,Apache官方再次发布公告,进一步修复Apache Shiro身份验证绕过漏洞(CVE-2020-13933),并发布1.6.0版本。


0x02 处置建议


   官方已发布新版本,请升级到1.6.0版本,下载地址:

http://shiro.apache.org/download.html


0x03 相关新闻


https://www.tenable.com/cve/CVE-2020-13933


0x04 参考链接


https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E


0x05 时间线


2020-08-17 Apache官方发布公告

2020-08-18 VSRC发布漏洞通告

 

 

​CVE-2020-13933 | Apache Shiro身份验证绕过漏洞通告


  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年8月19日10:50:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ​CVE-2020-13933 | Apache Shiro身份验证绕过漏洞通告http://cn-sec.com/archives/95490.html

发表评论

匿名网友 填写信息