发布时间:2020-11-05 13:32:00,来源:杭州安恒信息技术股份有限公司
一、基本情况
近日,监测发现Apache Shiro团队发布了Shiro 1.7.0之前版本存在身份验证绕过漏洞公告,漏洞编号:CVE-2020-17510,攻击者通过构造特殊HTTP请求来绕过身份验证,从而获取应用程序的访问权限。目前厂商已发布修复版本,建议受影响用户更新到1.7.0或以上版本,做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞等级
高危
三、漏洞详情
Apache Shiro是Apache软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。
Apache Shiro 1.7.0之前版本与Spring结合使用时存在身份验证绕过漏洞,攻击者通过精心构造特殊的HTTP请求来绕过身份验证,从而获取应用程序的访问权限。
四、影响范围
Apache Shiro <1.7.0
五、处置建议
Apache官方已发布修复版本,建议受影响用户更新到1.7.0或以上版本。
下载地址:https://shiro.apache.org/download.html
六、参考链接
https://www.mail-archive.com/user@shiro.apache.org/msg05870.html