apache shiro权限绕过漏洞
- cnnvd编号:未知
- 危害等级: 中危
- cve编号:cve-2020-17523
- 漏洞类型: 绕过登录验证
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-02-02
- 更新时间:2021-02-02
漏洞简介
1、组件介绍
apache shiro是一个功能强大且易于使用的java安全框架,功能包括身份验证、授权、加密和会话管理。使用shiro的api,可以轻松地、快速地保护任何应用程序,范围从小型的移动应用程序到大型的web和企业应用程序。内置了可以连接大量安全数据源(又名目录)的realm,如ldap、关系数据库(jdbc)、类似ini的文本配置资源以及属性文件等。
2、漏洞描述
2021年2月1日,深信服安全团队监测到一则apache shiro组件存在权限绕过漏洞的信息,漏洞编号:cve-2020-17523,漏洞危害:中危。该漏洞是由于apache shiro与spring结合使用时,攻击者可以发送特定的http请求绕过验证,获取敏感权限。
漏洞公示
暂无
参考网站
暂无
受影响实体
apache shiro是一个功能强大且易于使用的java安全框架,功能包括身份验证、授权、加密和会话管理。全球约有两万台服务器使用了该框架,中国地区占比60%以上,主要集中在浙江、广东、北京等地。可能受漏洞影响的资产分布于世界各地。
目前受影响的apache shiro版本:
apache shiro < 1.7.1
补丁
1、如何检测组件系统版本
在config\pom.xml的version标签中可以查看版本号。
2、官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。最新版下载地址:
