Apache Shiro身份验证绕过漏洞处置方案

时间  2021-05-20 标签 web安全攻防详解 安全

Apache Shiro身份验证绕过漏洞处置方案

2020年8月18日Apache Shiro官方发布安全通告 Apache Shiro身份验证绕过漏洞(CVE-2020-13933),经过分析,攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。鉴于该漏洞影响较大,建议尽快升级到最新版本。

漏洞描述

Apache Shiro是一个强大且易用的Java安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用Shiro的易用API,您可以快速、轻松地保护任何应用程序——从最小的移动应用程序到最大的WEB和企业应用程序。

2020年8月18日,Apache Shiro官方发布安全通告 Apache Shiro身份验证绕过漏洞(CVE-2020-13933),经过分析,攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。鉴于该漏洞影响较大,建议尽快升级到最新版本。

CVE-2020-13933漏洞,复现截图如下:

img

金属质感分割线

风险等级

高危

影响范围

Apache Shiro < 1.6.0

金属质感分割线

处置建议

更新至最新版本:http://shiro.apache.org/download.html

联系我们 沪ICP备13005482号-10