<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    [漏洞預警] Apache Shiro < 1.6.0 權限繞過漏洞(CVE-2020-13933)

    X0_0X2020-08-18 14:29:13

    近日,螞蟻非攻實驗室發現針對之前Apache Shiro身份驗證繞過漏洞CVE-2020-11989的修復補丁存在缺陷,在1.5.3及其之前的版本,由于shiro在處理url時與spring仍然存在差異,依然存在身份校驗繞過漏洞。2020年8月17日,Apache Shiro官方接收漏洞報告并發布1.6.0修復版本,CVE編號:CVE-2020-13933。

    風險等級

    漏洞類型

    身份驗證繞過

    影響版本

    • Apache Shiro < 1.6.0

    安全版本

    • Apache Shiro >= 1.6.0

    相關鏈接

    https://lists.apache.org/thread.html/r539f...

    apacheshiro
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    Apache Shiro開放重定向漏洞威脅通告
    2023-11-20 10:27:44
    Apache Shiro開放重定向漏洞威脅通告
    Apache Shiro身份驗證繞過漏洞來襲 啟明星辰提供解決方案
    2022-10-13 13:17:30
    10月12日,Apache官方披露了Apache Shiro存在身份驗證繞過漏洞,當通過 RequestDispatcher 進行轉發或包含時存在身份驗證繞過漏洞。不法分子則利用該漏洞在未授權的情況下,構造惡意數據繞過 Shiro 的權限配置機制,最終可繞過用戶身份認證,導致權限校驗失敗。
    Apache Shiro 身份認證繞過漏洞(CVE-2022-32532)安全風險通告
    2022-06-29 09:52:23
    鑒于此漏洞影響范圍較大,建議客戶盡快做好自查及防護。
    Apache Shiro權限繞過漏洞(CVE-2020-17523)風險通告
    2021-02-09 02:10:01
    Apache Shiro官方披露了一個認證權限繞過漏洞,攻擊者可發送特定HTTP請求繞過權限限制,獲取敏感權限。 1漏洞描述 Apache Shiro 1.7.0之前的版本,當與Spring結合使用時,攻擊者可發送特定HTTP請求導致驗證繞過,獲取敏感權限。
    【漏洞預警】Apache Shiro認證繞過漏洞
    2022-06-30 12:05:42
    該漏洞是由于 RegexRequestMatcher 不正當配置存在安全問題,攻擊者可利用該漏洞在未授權的情況下,構造惡意數據繞過 Shiro 的權限配置機制,最終可繞過用戶身份認證,導致權限校驗失敗。
    【漏洞預警】Apache Shiro身份驗證繞過漏洞安全風險通告
    2021-09-18 20:10:39
    奇安信CERT致力于第一時間為企業級用戶提供安全風險通告和有效解決方案。風險通告近日,奇安信CERT監測到A
    [漏洞預警] Apache Shiro < 1.6.0 權限繞過漏洞(CVE-2020-13933)
    2020-08-18 14:29:13
    近日,螞蟻非攻實驗室發現針對之前Apache Shiro身份驗證繞過漏洞CVE-2020-11989的修復補丁存在缺陷,在及其之前的版本,由于shiro在處理url時與spring仍然存在差異,依然存在身份校驗繞過漏洞。2020年8月17日,Apache Shiro官方接收漏洞報告并發布修復版本,CVE編號:CVE-2020-13933。風險等級 高 漏洞類型 身份驗證繞過 影響版本 Apache Shiro < 安全版本 Apache Shiro >= 相關鏈接 ...
    Shiro Padding Oracle無key的艱難實戰利用過程
    2022-07-26 13:13:12
    一次成功的Shiro Padding Oracle需要一直向服務器不斷發包,判斷服務器返回,攻擊時間通常需要幾個小時。因為這些程序沒有對發包失敗拋出異常的情況做出處理,從而導致工具停止工作。最終,攻擊成功了,我虛擬機下花了不到1小時共計完成,但是在真實生產環境測試,攻擊成功一次DNS或者JRMPClient攻擊,程序需要跑大約4個小時左右,2次攻擊加起來近9個小時。
    shiro權限分析
    2021-10-27 15:21:57
    寫這個的時候昏昏沉沉的可能有些地方沒說清楚,可以看一下參考鏈接那個老哥說的很詳細。看看filter的鑒權路徑咋寫的。進入getRequestUri看看對uri的處理。符進行了優化處理。然后保存在requestUri中,再講requestUri與需要鑒權的路徑做比較。根據運行的執行結果來看,這里是對uri進行了一次url解碼。這里自動將空格去除了。
    CVE-2021-37580 Apache ShenYu 管理員認證繞過漏洞分析
    2021-11-18 12:03:43
    漏洞信息ShenYu是一款高性能,響應式的網關,同時也是應用于所有微服務場景的,可擴展、高性能、響應式的 API 網關解決方案。
    X0_0X
    暫無描述
      亚洲 欧美 自拍 唯美 另类