近期接网络安全厂商安全通报,Apache Shiro组件存在权限绕过漏洞的信息(漏洞编号:CVE-2020-17523),漏洞危害为中危,该漏洞是由于Apache Shiro与Spring结合使用时,攻击者可以发送特定的HTTP请求绕过验证而获取敏感权限,存在较明显的安全隐患,请使用Apache Shiro组件的师生用户及时修补该漏洞,避免被恶意用户利用。
该漏洞详情和处置措施如下:
影响范围:
目前受影响的Apache Shiro版本:Apache Shiro < 1.7.1
漏洞详情:
Apache Shiro是一个功能强大且易于使用的Java安全框架,功能包括身份验证、授权、加密和会话管理,具有较广泛的应用。该漏洞是由于Apache Shiro与Spring结合使用时,攻击者可以发送特定的HTTP请求绕过验证,获取敏感权限。
处置措施:
如何检测组件系统版本:在config\pom.xml的version标签中可以查看版本号。
官方修复建议:当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。最新版下载地址:
https://github.com/apache/shiro/tree/master
相关来源: 深信服千里目安全实验室
