• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 應(yīng)用
  • -
    • Apache Shiro權(quán)限繞過漏洞
    • CNNVD編號:CVE-2021-41303
    • 危害等級: 中危 
    • CVE編號:未知
    • 漏洞類型: 繞過登錄驗證
    • 威脅類型:遠程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-09-18
    • 更新時間:2021-09-26

    漏洞簡介

    1、組件介紹

    Apache Shiro是一個功能強大且易于使用的Java安全框架,功能包括身份驗證、授權(quán)、加密和會話管理。使用Shiro的API,可以輕松地、快速地保護任何應(yīng)用程序,范圍從小型的移動應(yīng)用程序到大型的Web和企業(yè)應(yīng)用程序。內(nèi)置了可以連接大量安全數(shù)據(jù)源(又名目錄)的Realm,如LDAP、關(guān)系數(shù)據(jù)庫(JDBC)、類似INI的文本配置資源以及屬性文件等。

    2、漏洞描述

    2021年9月17日,深信服安全團隊監(jiān)測到一則Apache Shiro組件存在權(quán)限繞過漏洞的信息,漏洞編號:CVE-2021-41303,漏洞危害:中危。

    該漏洞是由于Apache Shiro與Spring結(jié)合使用時存在繞過問題,攻擊者可利用該漏洞在未授權(quán)的情況下,使用精心構(gòu)造的HTTP 請求繞過登錄驗證,最終造成服務(wù)器敏感性信息泄露。

    漏洞公示

    暫無

    受影響實體

    Apache Shiro是一個功能強大且易于使用的Java安全框架,功能包括身份驗證,授權(quán),加密和會話管理??赡苁苈┒从绊懙馁Y產(chǎn)分布于世界各地,主要分布在中國、美國、日本等國家,國內(nèi)主要集中在廣東、北京、上海等地

    目前受影響的Apache Shiro版本:

    Apache Shiro < 1.8.0

    補丁

    1、如何檢測組件系統(tǒng)版本

      方法一、在集成環(huán)境中查看:


    注:示例為1.7.0版本。請以自己環(huán)境中shiro版本為準

        方法二、找到shiro的jar包,后面的包名中*.*.*即為版本號,如:


    注:示例為1.7.1版本。請以自己環(huán)境中shiro版本為準

    2、官方修復(fù)建議

    當前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:

    https://shiro.apache.org/download.html