Apache Shiro身份验证绕过漏洞处置方案
Apache Shiro身份验证绕过漏洞处置方案
2020年8月18日Apache Shiro官方发布安全通告 Apache Shiro身份验证绕过漏洞(CVE-2020-13933),经过分析,攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。鉴于该漏洞影响较大,建议尽快升级到最新版本。
漏洞描述
Apache Shiro是一个强大且易用的Java安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用Shiro的易用API,您可以快速、轻松地保护任何应用程序——从最小的移动应用程序到最大的WEB和企业应用程序。
2020年8月18日,Apache Shiro官方发布安全通告 Apache Shiro身份验证绕过漏洞(CVE-2020-13933),经过分析,攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。鉴于该漏洞影响较大,建议尽快升级到最新版本。
CVE-2020-13933漏洞,复现截图如下:
风险等级
高危
影响范围
Apache Shiro < 1.6.0
处置建议
更新至最新版本:http://shiro.apache.org/download.html