• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 中間件
  • -
    • Apache Shiro權(quán)限繞過漏洞
    • CNNVD編號(hào):未知
    • 危害等級(jí): 中危 
    • CVE編號(hào):CVE-2020-17523
    • 漏洞類型: 繞過登錄驗(yàn)證
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時(shí)間:2021-02-05
    • 更新時(shí)間:2021-02-05

    漏洞簡介

    1、組件介紹

    Apache Shiro是一個(gè)功能強(qiáng)大且易于使用的Java安全框架,功能包括身份驗(yàn)證、授權(quán)、加密和會(huì)話管理。使用Shiro的API,可以輕松地、快速地保護(hù)任何應(yīng)用程序,范圍從小型的移動(dòng)應(yīng)用程序到大型的Web和企業(yè)應(yīng)用程序。內(nèi)置了可以連接大量安全數(shù)據(jù)源(又名目錄)的Realm,如LDAP、關(guān)系數(shù)據(jù)庫(JDBC)、類似INI的文本配置資源以及屬性文件等。

    2、漏洞描述
    2021年2月1日,深信服安全團(tuán)隊(duì)監(jiān)測到一則Apache Shiro組件存在權(quán)限繞過漏洞的信息,漏洞編號(hào):CVE-2020-17523,漏洞危害:中危。該漏洞是由于Apache Shiro與Spring結(jié)合使用時(shí),攻擊者可以發(fā)送特定的HTTP請求繞過驗(yàn)證,獲取敏感權(quán)限。

    漏洞公示

    搭建Apache Shiro組件1.7.0版本環(huán)境,復(fù)現(xiàn)該漏洞,效果如下:

    正常訪問:

    漏洞利用:

    參考網(wǎng)站

    暫無

    受影響實(shí)體

    Apache Shiro是一個(gè)功能強(qiáng)大且易于使用的Java安全框架,功能包括身份驗(yàn)證,授權(quán),加密和會(huì)話管理。全球約有兩萬臺(tái)服務(wù)器使用了該框架,中國地區(qū)占比60%以上,主要集中在浙江、廣東、北京等地。可能受漏洞影響的資產(chǎn)分布于世界各地。


    目前受影響的Apache Shiro版本:

    Apache Shiro < 1.7.1

    補(bǔ)丁

    1、官方修復(fù)建議

    前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。最新版下載地址:

    https://github.com/apache/shiro/tree/master

    https://shiro.apache.org/download.html

    2、臨時(shí)修復(fù)建議

    使用shiro配置路徑攔截規(guī)則時(shí)盡量避免使用單*匹配。