1、漏洞背景描述
近日,互联网上曝出Apache Shiro存在权限绕过漏洞(CVE-2020-17510),远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。
2、漏洞概述
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
由于Shiro在处理url时与Spring存在差异,在使用Apache Shiro与Spring时,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。
3、漏洞风险
远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。
4、漏洞影响
Apache Shiro < 1.7.0
5、修复建议
目前,官方已发布漏洞修复版本,赛尔网络安全服务团队建议相关用户尽快更新至1.7.0及以上版本。
参考链接:https://shiro.apache.org/download.html