Apache Shiro 身份验证绕过漏洞

声明：该文章由作者（ksbugs-so）发表，转载此文章须经作者同意并请附上出处(0XUCN)及本页链接。。

应用介绍：

Apache Shiro是美国阿帕奇（Apache）软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。

Apache Shiro 1.5.3之前版本中存在安全漏洞。攻击者可借助特制请求利用该漏洞绕过身份验证。

CVE编号：CVE-2020-11989

威胁程度：高危

影响范围：Apache Shiro ≤ 1.5.3

漏洞描述：

当 Apache Shiro 与 Spring Dynamic Controllers 一起使用时，远程攻击者可以通过构造恶意请求包进行利用，成功利用此漏洞可绕过身份验证。

修复建议：

官方已发布漏洞修复版本，下载地址：https://github.com/apache/shiro/releases

来源地址：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11989

另外，昨天还有两个Apache漏洞也需要一并关注：

《Apache Dubbo远程代码执行漏洞》地址：https://www.0xu.cn/article/intelnet/safe/2167.html

《Apache Spark存在远程代码执行漏洞》地址：https://www.0xu.cn/article/intelnet/safe/2166.html

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/