Apache Shiro身份验证绕过漏洞风险提示:
【漏洞公告】
近日,Apache Shiro官方更新发布了1.7.0之前版本存在身份验证绕过的漏洞公告(邮件列表),对应CVE编号:CVE-2020-17510,相关链接:
https://www.mail-archive.com/user@shiro.apache.org/msg05870.html
根据描述,Apache Shiro 1.7.0之前版本与Spring结合使用时,恶意攻击者可以构造特殊HTTP请求来绕过身份验证,从而获得原本受限的访问权限,建议使用该组件的系统及时更新到漏洞修复的版本。
【影响范围】
Apache Shiro身份验证绕过漏洞(CVE-2020-17510)影响以下版本:
Apache Shiro 1.7.0之前版本,建议更新到1.7.0或以上版本
官方下载地址:
http://shiro.apache.org/download.html
GitHub更新版本地址:
https://github.com/apache/shiro/releases
【漏洞描述】
Apache Shiro身份验证绕过漏洞(CVE-2020-17510),Apache Shiro 1.7.0之前版本与Spring结合使用场景中,恶意攻击者可以通过构造行特殊HTTP请求绕过身份验证,从而突破原本受限的权限。
【缓解措施】
高危:目前漏洞细节和利用代码虽暂未公开,但可以通过补丁对比方式逆向分析出漏洞触发点,并进一步开发出漏洞利用代码,建议使用该组件的系统及时更新到漏洞修复的版本。