Apache Shiro未授权访问漏洞
- CNNVD编号:未知
- 危害等级: 中危
- CVE编号:CVE-2020-17510
- 漏洞类型: 未授权访问
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2020-12-11
- 更新时间:2021-01-14
漏洞简介
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。
Apache Shiro存在一个未授权访问漏洞,因为shiro在与spring组合使用时,处理url的方式和spring存在差别,导致授权的绕过。通过构造特殊的HTTP请求,可以访问未授权的信息。
漏洞公示
暂无
受影响实体
目前受影响的Apache Shiro版本:
Apache Shiro < 1.7.0
补丁
目前厂商已发布升级补丁修复漏洞,请受影响用户及时更新官方补丁。官方链接如下: