• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 中間件
  • -
    • 【漏洞通告】Apache Shiro未授權(quán)訪問漏洞(CVE-2020-17510)
    • CNNVD編號(hào):未知
    • 危害等級(jí): 中危 
    • CVE編號(hào):CVE-2020-17510
    • 漏洞類型: 未知
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:未知
    • 發(fā)布時(shí)間:2020-11-25
    • 更新時(shí)間:2020-12-11

    漏洞簡介

    Apache Shiro存在一個(gè)未授權(quán)訪問漏洞,因?yàn)閟hiro在與spring組合使用時(shí),處理url的方式和spring存在差別,導(dǎo)致授權(quán)的繞過。通過構(gòu)造特殊的HTTP請(qǐng)求,可以訪問未授權(quán)的信息。

    漏洞公示

    Apache Shiro是一個(gè)強(qiáng)大且易用的Java安全框架,執(zhí)行身份驗(yàn)證、授權(quán)、密碼和會(huì)話管理。使用Shiro的易于理解的API,可以快速、輕松地獲得任何應(yīng)用程序,從最小的移動(dòng)應(yīng)用程序到最大的網(wǎng)絡(luò)和企業(yè)應(yīng)用程序。內(nèi)置了可以連接大量安全數(shù)據(jù)源(又名目錄)的Realm,如LDAP、關(guān)系數(shù)據(jù)庫(JDBC)、類似INI的文本配置資源以及屬性文件等。

    受影響實(shí)體

    暫無

    補(bǔ)丁

    目前廠商已發(fā)布升級(jí)補(bǔ)丁修復(fù)漏洞,請(qǐng)受影響用戶及時(shí)更新官方補(bǔ)丁。官方鏈接如下:

    https://shiro.apache.org/download.html