【安全通告】Apache Shiro认证绕过漏洞公告(漏洞编号:CVE-2020-17510)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Apache Shiro官方披露了一个认证绕过漏洞(漏洞编号:CVE-2020-17510),攻击者可发送特定HTTP请求绕过权限限制,获取敏感权限。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache Shiro 1.7.0之前的版本,当与Spring结合使用时,攻击者可发送特定HTTP请求导致验证绕过,获取敏感权限。
风险等级
中风险,需结合Spring使用环境
漏洞风险
漏洞利用,可导致认证绕过风险
影响版本
Apache Shiro < 1.7.0 版本
安全版本
Apache Shiro 1.7.0 或更新版本
修复建议
官方已发布漏洞修复更新,腾讯云安全建议您:
1)检查是否受影响:确认是否使用到Spring,如未使用到,则不受影响;
2)如在受影响范围,建议升级到【安全版本】。
漏洞参考
1)官方更新通告:https://www.mail-archive.com/user@shiro.apache.org/msg05870.html