【安全通告】Apache Shiro权限绕过漏洞风险通告(CVE-2020-13933)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Apache Shiro官方发布公告披露了一个权限绕过漏洞(漏洞编号:CVE-2020-13933),漏洞被利用可导致身份验证绕过。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apahce Shiro存在权限绕过漏洞,该漏洞是由于Apahce Shiro处理身份验证请求时出错,攻击者可以通过发送特制的HTTP请求来利用该漏洞,从而绕过身份验证。该漏洞在1.5.3版本中被修复,但由于Apahce Shiro在处理url时与Spring仍然存在差异,导致该修复并不完全,Shiro最新版本仍然存在身份验证绕过漏洞。2020年8月17日,Apache Shiro官方发布1.6.0版本修复该漏洞。
风险等级
高风险
漏洞风险
攻击者可利用漏洞通过发送特制的HTTP请求来绕过身份验证。
影响版本
Apache Shiro < 1.6.0
安全版本
Apache Shiro >= 1.6.0
修复建议
1)官方已发布漏洞修复版本,检查您的Apahce Shiro是否在受影响版本范围
2)如受影响,请你选择合理时间进行升级操作,升级到修复版本,避免影响业务。
腾讯主机安全(云镜)已支持该漏洞检测
漏洞参考
