首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-13933 | Apache Shiro身份驗證繞過漏洞通告

發布時間 2020-08-18

0x00 漏洞概述



CVE   ID

CVE-2020-13933

時    間

2020-08-18

類   



等    級

高危

遠程利用

影響范圍

Apache Shiro < 1.6.0



0x01 漏洞詳情




2020年6月22日,Apache官方發布公告,修復了一個Apache Shiro身份驗證繞過漏洞(CVE-2020-11989),攻擊者可通過構造惡意請求利用該漏洞來繞過身份驗證,并發布1.5.3版本。但這個修復并不完全,由于shiro在處理url時與spring仍然存在差異,shiro最新版仍然存在身份驗證繞過漏洞。2020年8月17日Apache官方再次發布公告,進一步修復Apache Shiro身份驗證繞過漏洞(CVE-2020-13933),并發布1.6.0版本。


0x02 處置建議


官方已發布新版本,請升級到1.6.0版本,下載地址:

http://shiro.apache.org/download.html


0x03 相關新聞


https://www.tenable.com/cve/CVE-2020-13933


0x04 參考鏈接


https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E


0x05 時間線


2020-08-17 Apache官方發布公告

2020-08-18 VSRC發布漏洞通告





上一篇 下一篇