首頁 > 安全研究 > 安全通報 > 安全通告

Apache Shiro 權限繞過漏洞風險通告

發布時間 2020-03-26

漏洞編號和級別


CVE編號:CVE-2020-1957,危險級別:中危,CVSS分值:官方未評定


影響版本


Apache Shiro < 1.5.2


漏洞概述


Apache Shiro是一個Java安全框架,執行身份驗證、授權、密碼、會話管理。Shiro是Apache 的一個開源項目,前身是JSecurity 項目,始于2003年初。Shiro 可以為任何應用提供安全保障 - 從命令行應用、移動應用到大型網絡及企業應用。

近日,Shiro官方發布了一個安全更新公告: Shiro < 1.5.2 版本存在一處權限繞過漏洞,當受影響版本的 Shiro框架結合 Spring dynamic controllers 使用時,未經授權的遠程攻擊者可以通過精心構造的請求包進行權限繞過,可能造成鑒權系統失效以及后臺功能暴露。


漏洞驗證


暫無PoC/EXP。


修復建議


目前官方已發布新版本,請更新到 Shiro 1.5.2及以上版本,鏈接:http://shiro.apache.org/download.html。


參考鏈接


https://seclists.org/oss-sec/2020/q1/120


上一篇 下一篇