Apache Shiro權限繞過漏洞(CVE-2020-17523)風險通告
VSole2021-02-09 02:10:01
Apache Shiro官方披露了一個認證權限繞過漏洞,攻擊者可發送特定HTTP請求繞過權限限制,獲取敏感權限。
1漏洞描述
Apache Shiro 1.7.0之前的版本,當與Spring結合使用時,攻擊者可發送特定HTTP請求導致驗證繞過,獲取敏感權限。 Apache Shiro是一個開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。
2漏洞編號
CVE-2020-17523
3漏洞等級
中危,需結合Spring使用環境。
4受影響的版本
Apache Shiro < 1.7.1版本
5安全版本
Apache Shiro 1.7.1 或更新版本
6Apache Shiro組件全球應用概況
Apache Shiro組件全球應用廣泛,中國占比最高(33.75%)、其次是美國(22.85%)、阿聯酋(6.83%)。在中國大陸地區,浙江、北京、廣東、上海四省市位居前列,占比超過70%。
7漏洞修復建議
官方已發布漏洞修復更新,安全專家建議: 1)檢查是否受影響:確認是否使用到Spring,如未使用到,則不受影響; 2)如在受影響范圍,建議升級到【安全版本】。
VSole
網絡安全專家