Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告
Apache Shiro官方披露了一个认证权限绕过漏洞,攻击者可发送特定HTTP请求绕过权限限制,获取敏感权限。
1漏洞描述
Apache Shiro 1.7.0之前的版本,当与Spring结合使用时,攻击者可发送特定HTTP请求导致验证绕过,获取敏感权限。
Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。
2漏洞编号
CVE-2020-17523
3漏洞等级
中危,需结合Spring使用环境。
4受影响的版本
Apache Shiro < 1.7.1版本
5安全版本
Apache Shiro 1.7.1 或更新版本
6Apache Shiro组件全球应用概况
Apache Shiro组件全球应用广泛,中国占比最高(33.75%)、其次是美国(22.85%)、阿联酋(6.83%)。在中国大陆地区,浙江、北京、广东、上海四省市位居前列,占比超过70%。
7漏洞修复建议
官方已发布漏洞修复更新,安全专家建议:
1)检查是否受影响:确认是否使用到Spring,如未使用到,则不受影响;
2)如在受影响范围,建议升级到【安全版本】。
来源:腾讯安全威胁情报中心