CVE-2020-13933 | Apache Shiro身份验证绕过漏洞通告
发布时间 2020-08-180x00 漏洞概述
CVE ID | CVE-2020-13933 | 时 间 | 2020-08-18 |
类 型 | 等 级 | 高危 | |
远程利用 | 是 | 影响范围 | Apache Shiro < 1.6.0 |
0x01 漏洞详情
2020年6月22日,Apache官方发布公告,修复了一个Apache Shiro身份验证绕过漏洞(CVE-2020-11989),攻击者可通过构造恶意请求利用该漏洞来绕过身份验证,并发布1.5.3版本。但这个修复并不完全,由于shiro在处理url时与spring仍然存在差异,shiro最新版仍然存在身份验证绕过漏洞。2020年8月17日Apache官方再次发布公告,进一步修复Apache Shiro身份验证绕过漏洞(CVE-2020-13933),并发布1.6.0版本。
0x02 处置建议
官方已发布新版本,请升级到1.6.0版本,下载地址:
http://shiro.apache.org/download.html
0x03 相关新闻
https://www.tenable.com/cve/CVE-2020-13933
0x04 参考链接
https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E
0x05 时间线
2020-08-17 Apache官方发布公告
2020-08-18 VSRC发布漏洞通告