0x00 漏洞概述
|
CNVD ID |
CVE-2020-17510 |
时 间 |
2020-11-03 |
|
类 型 |
身份验证绕过 |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
Apache Shiro <1.7.0 |
Apache Shiro是一个强大且易用的Java安全框架,其支持身份验证、授权、密码和会话管理等。使用Shiro的API,可以快速、轻松地获得任何应用程序。
0x01 漏洞详情
2020年10月30日,Apache Shiro发布1.7.0版本,修复了 Apache Shiro 身份验证绕过漏洞 (CVE-2020-17510)。当Apache Shiro与Spring结合使用时,攻击者可以使用恶意HTTP请求来绕过Shiro的身份认证。成功利用此漏洞的攻击者可以访问后台功能,安全风险较高。
0x02 处置建议
建议及时更新至安全版本。
下载地址:
https://shiro.apache.org/download.html
0x03 参考链接
https://www.mail-archive.com/[email protected]/msg05870.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17510
0x04 时间线
2020-10-30 Apache Shiro发布更新
2020-11-03 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
本文始发于微信公众号(维他命安全):CVE-2020-17510| Apache Shiro身份验证绕过漏洞通告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论