【漏洞预警】CVE-2020-17510:Apache Shiro身份验证绕过漏洞

webmaster 2020-11-02 18:35:59

漏洞详情
由于Shiro和Spring在处理URL方面的差异,将Apache Shiro与Spring一起使用时,攻击者可以发送特定的HTTP请求绕过身份验证,获得对应用程序的未授权访问。

受影响的版本
Apache Shiro <1.7

不受影响的版本
Apache Shiro 1.7

加固建议:
建议用户及时将Shiro升级到最新版本。
https://shiro.apache.org/download.html

参考来源:

https://meterpreter.org/cve-2020-17510-apache-shiro-authentication-bypass-vulnerability-alert/
https://nosec.org/home/detail/4598.html
https://www.mail-archive.com/user@shiro.apache.org/msg05870.html