Apache Shiro验证绕过漏洞(CVE-2020-17523)
发布时间 2021-02-020x00 漏洞概述
CVE ID | CVE-2020-17523 | 时 间 | 2021-02-02 |
类 型 | 验证绕过 | 等 级 | 中危 |
远程利用 | 是 | 影响范围 | Apache Shiro < 1.7.1 |
0x01 漏洞详情
Apache Shiro是一个强大且易用的Java安全框架,其支持身份验证、授权、密码和会话管理等。使用Shiro的API可以快速、轻松地获得任何应用程序。
2021年02月01日,Apache Shiro发布1.7.1版本,修复了 Apache Shiro 中的一个身份验证绕过漏洞(CVE-2020-17523)。当Apache Shiro与Spring结合使用时,攻击者可以使用恶意HTTP请求来绕过Shiro的身份认证。成功利用此漏洞的攻击者可以绕过身份验证,成功访问后台。
0x02 处置建议
目前该漏洞已被修复,建议升级至Apache Shiro 1.7.1。
下载链接:
https://shiro.apache.org/download.html
0x03 参考链接
https://lists.apache.org/thread.html/r13fe9ddc4ebdbf17db22cf1dd2776144bf9fdbfbdf2887a0385538aa%40%3Ccommits.shiro.apache.org%3E
https://shiro.apache.org/news.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17523
0x04 时间线
2021-02-01 Apache Shiro发布安全更新
2021-02-02 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
京公网安备11010802024551号