当前位置:首页
> 网络技术 > 安全预警
 

关于Apache Shiro身份验证绕过漏洞的风险预警的预警提示

2020-09-03 信息来源:网络技术部浏览次数:字体:[ ]

一、漏洞详情

CVE-2020-13933漏洞,漏洞基于Apache Shiro 1.5.3版本的不完全修复,恶意攻击者可以通过构造行特殊编码的请求绕过身份验证,从而突破原本受限的权限。

根据公告,在业务系统使用Apache Shiro 1.6.0之前版本的场景中,恶意攻击者可以构造特殊HTTP请求来绕过身份验证,从而获得原本受限的访问权限,建议使用该组件的系统及时更新到漏洞修复的版本。

二、受影响范围

Apache Shiro 1.6.0之前版本,建议更新到1.6.0或以上版本。

三、建议修复方式:

目前漏洞细节和利用代码虽暂未公开,但可以通过补丁对比方式逆向分析出漏洞触发点,并进一步开发出漏洞利用代码,建议及时测试并更新到漏洞修复的版本,或部署必要的安全防护设备拦截恶意攻击代码。

 

Produced By 大汉网络 大汉版通发布系统