Apache Shiro權(quán)限繞過(guò)漏洞
  • CNNVD編號(hào):CVE-2021-41303
  • 危害等級(jí): 中危 
  • CVE編號(hào):未知
  • 漏洞類型: 繞過(guò)登錄驗(yàn)證
  • 威脅類型:遠(yuǎn)程
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2021-09-18
  • 更新時(shí)間:2021-09-26

漏洞簡(jiǎn)介

1、組件介紹

Apache Shiro是一個(gè)功能強(qiáng)大且易于使用的Java安全框架,功能包括身份驗(yàn)證、授權(quán)、加密和會(huì)話管理。使用Shiro的API,可以輕松地、快速地保護(hù)任何應(yīng)用程序,范圍從小型的移動(dòng)應(yīng)用程序到大型的Web和企業(yè)應(yīng)用程序。內(nèi)置了可以連接大量安全數(shù)據(jù)源(又名目錄)的Realm,如LDAP、關(guān)系數(shù)據(jù)庫(kù)(JDBC)、類似INI的文本配置資源以及屬性文件等。

2、漏洞描述

2021年9月17日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則Apache Shiro組件存在權(quán)限繞過(guò)漏洞的信息,漏洞編號(hào):CVE-2021-41303,漏洞危害:中危。

該漏洞是由于Apache Shiro與Spring結(jié)合使用時(shí)存在繞過(guò)問(wèn)題,攻擊者可利用該漏洞在未授權(quán)的情況下,使用精心構(gòu)造的HTTP 請(qǐng)求繞過(guò)登錄驗(yàn)證,最終造成服務(wù)器敏感性信息泄露。

漏洞公示

暫無(wú)

受影響實(shí)體

Apache Shiro是一個(gè)功能強(qiáng)大且易于使用的Java安全框架,功能包括身份驗(yàn)證,授權(quán),加密和會(huì)話管理??赡苁苈┒从绊懙馁Y產(chǎn)分布于世界各地,主要分布在中國(guó)、美國(guó)、日本等國(guó)家,國(guó)內(nèi)主要集中在廣東、北京、上海等地

目前受影響的Apache Shiro版本:

Apache Shiro < 1.8.0

補(bǔ)丁

1、如何檢測(cè)組件系統(tǒng)版本

  方法一、在集成環(huán)境中查看:


注:示例為1.7.0版本。請(qǐng)以自己環(huán)境中shiro版本為準(zhǔn)

    方法二、找到shiro的jar包,后面的包名中*.*.*即為版本號(hào),如:


注:示例為1.7.1版本。請(qǐng)以自己環(huán)境中shiro版本為準(zhǔn)

2、官方修復(fù)建議

當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:

https://shiro.apache.org/download.html