Apache Shiro 权限绕过漏洞风险通告
发布时间 2020-03-26漏洞编号和级别
CVE编号:CVE-2020-1957,危险级别:中危,CVSS分值:官方未评定
影响版本
Apache Shiro < 1.5.2
漏洞概述
Apache Shiro是一个Java安全框架,执行身份验证、授权、密码、会话管理。Shiro是Apache 的一个开源项目,前身是JSecurity 项目,始于2003年初。Shiro 可以为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。
近日,Shiro官方发布了一个安全更新公告: Shiro < 1.5.2 版本存在一处权限绕过漏洞,当受影响版本的 Shiro框架结合 Spring dynamic controllers 使用时,未经授权的远程攻击者可以通过精心构造的请求包进行权限绕过,可能造成鉴权系统失效以及后台功能暴露。
漏洞验证
暂无PoC/EXP。
修复建议
目前官方已发布新版本,请更新到 Shiro 1.5.2及以上版本,链接:http://shiro.apache.org/download.html。
参考链接
https://seclists.org/oss-sec/2020/q1/120
京公网安备11010802024551号