Apache Shiro权限绕过漏洞安全风险通告

发布日期：2020-08-24

漏洞描述

2020年08月18日， 360CERT监测发现 Apache Shiro 发布了 Apahce Shiro 权限绕过 的风险通告，该漏洞编号为 CVE-2020-13933，漏洞等级：高危，漏洞评分：8.0。

Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞，远程攻击者可以发送特制的HTTP请求，绕过身份验证过程并获得对应用程序的未授权访问。

对此，禹宏信安建议广大用户及时将 Apache Shiro 升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

漏洞编号

CVE-2020-13933

漏洞危害

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。

之前Apache Shiro身份验证绕过漏洞CVE-2020-11989的修复补丁存在缺陷，在1.5.3及其之前的版本，由于shiro在处理url时与spring仍然存在差异，依然存在身份校验绕过漏洞由于处理身份验证请求时出错，远程攻击者可以发送特制的HTTP请求，绕过身份验证过程并获得对应用程序的未授权访问。

漏洞等级

高危
受影响版本

Apache Shiro < 1.6.0

修复方案

升级到最新版本。下载地址为：

http://shiro.apache.org/download.html

参考链接

1. https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E