Apache Shiro权限绕过漏洞 (CVE-2020-13933) 预警

一、基本情况

8月17日，Apache Shiro官方发布Apache Shiro存在权限绕过漏洞（CVE-2020-13933）的风险通告。该漏洞风险较高，且影响较大。攻击者通过发送特制的HTTP请求，绕过身份验证，从而获取对应用程序的访问权限。目前，Apache Shiro官方已发布最新版本修复该漏洞，建议广大用户尽快升级至最新版本，做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞详情

Apache Shiro是一个Java安全框架，通过它可以执行身份验证、授权、密码和会话管理。

该漏洞源于Apahce Shiro 1.6.0之前版本处理身份验证请求时存在权限绕过漏洞，远程攻击者通过发送特制的HTTP请求，绕过身份验证，从而获取对应用程序的访问权限。

三、影响范围

Apache Shiro < 1.6.0

四、处置建议

建议用户尽快升级至最新版本。

http://shiro.apache.org/download.html

五、参考链接

1、https://shiro.apache.org/security-reports.html

2、https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E

支持单位：

杭州安恒信息技术股份有限公司

中国信息通信研究院

声明：本文来自网络安全威胁信息共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。