通达OA多个安全漏洞通告

发布时间 2020-08-31

0x00 漏洞概述


CVE ID

CVE-2020-13933

2020-08-18


高危

远程利用

影响范围

Apache Shiro < 1.6.0


0x01 漏洞详情

 

3.png


20206月22日,Apache官方发布公告,修复了一个Apache Shiro身份验证绕过漏洞(CVE-2020-11989),攻击者可通过构造恶意请求利用该漏洞来绕过身份验证,并发布1.5.3版本。但这个修复并不完全,由于shiro在处理url时与spring仍然存在差异,shiro最新版仍然存在身份验证绕过漏洞。2020年817日,Apache官方再次发布公告,进一步修复Apache Shiro身份验证绕过漏洞(CVE-2020-13933),并发布1.6.0版本。

0x02 处置建议

官方已发布新版本,请升级到1.6.0版本,下载地址:

http://shiro.apache.org/download.html

0x03 相关新闻

https://www.tenable.com/cve/CVE-2020-13933

0x04 参考链接

https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E

0x05 时间线

2020-08-17 Apache官方发布公告

2020-08-18 VSRC发布漏洞通告