CVE-2020-13933 | Apache Shiro身份验证绕过漏洞通告

2020年8月19日10:50:43评论325 views字数 639阅读2分7秒阅读模式

0x00 漏洞概述

CVE ID	CVE-2020-13933	时间	2020-08-18
类型		等级	高危
远程利用	是	影响范围	Apache Shiro < 1.6.0

0x01 漏洞详情

2020年6月22日，Apache官方发布公告，修复了一个Apache Shiro身份验证绕过漏洞（CVE-2020-11989），攻击者可通过构造恶意请求利用该漏洞来绕过身份验证，并发布1.5.3版本。但这个修复并不完全，由于shiro在处理url时与spring仍然存在差异，shiro最新版仍然存在身份验证绕过漏洞。2020年8月17日，Apache官方再次发布公告，进一步修复Apache Shiro身份验证绕过漏洞（CVE-2020-13933），并发布1.6.0版本。

0x02 处置建议

官方已发布新版本，请升级到1.6.0版本，下载地址：

http://shiro.apache.org/download.html

0x03 相关新闻

https://www.tenable.com/cve/CVE-2020-13933

0x04 参考链接

https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E

0x05 时间线

2020-08-17 Apache官方发布公告

2020-08-18 VSRC发布漏洞通告

CVE-2020-13933 | Apache Shiro身份验证绕过漏洞通告

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

本文由 admin 发表于 2020年8月19日10:50:43
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
CVE-2020-13933 | Apache Shiro身份验证绕过漏洞通告https://cn-sec.com/archives/95490.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

CVE-2020-13933 | Apache Shiro身份验证绕过漏洞通告

0x00 漏洞概述

0x01 漏洞详情

0x02 处置建议

0x03 相关新闻

0x04 参考链接

0x05 时间线

PG_Vmdak

如何搭建符号执行环境并跑通第一个测试样例

渗透测试|柳暗花明(记一次有趣的高危漏洞以及思考修复方案)

从通过 .js 文件中找到的 URL 访问受限功能，到通过修改 API上HTTP响应中的accessLevel值进行权限提升

Web3 安全入门避坑指南｜剪贴板安全

利用n8n结合ollama-Deepseek大模型创建智能体

如何利用图像验证技术识别钓鱼攻击？

Webshell免杀思路-PHP篇-1：经典混淆的艺术

CimFS：内存崩溃，查找系统（内核版）

Astral-PE 是用于本机 Windows PE 文件（x32/x64）的低级变异器（Headers/EP 混淆器）

发表评论

在线咨询

微信