当前位置:首页 > 技术 > 正文内容

【漏洞预警】Apache Shiro < 1.6.0 权限绕过漏洞(CVE-2020-13933)

醉清风2020-08-18技术178
【漏洞描述】
2020年8月17日,Apache Shiro官方发布安全更新,修复了一个最新权限绕过漏洞。攻击者利用该漏洞可以绕过验证访问到后台功能,风险较高。

攻击者可以使用包含payload的恶意请求绕过Shiro的身份认证,漏洞于1.5.3修复。实际上,这个修复并不完全,由于shiro在处理url时与spring仍然存在差异,shiro最新版仍然存在身份校验绕过漏洞。

2020年8月17日,Apache Shiro发布1.6.0版本修复该漏洞绕过。腾讯安全专家提醒Apache Shiro用户尽快采取安全措施阻止漏洞攻击。

Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。

【漏洞等级】高

【影响版本】
Apache Shiro < 1.6.0


【安全版本】

Apache Shiro >= 1.6.0


相关链接

https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E


扫描二维码至手机访问

扫描二维码推送至手机访问。

版权声明:本文由红柚酱发布,如需转载请注明出处。

转载请注明出处:https://www.notenet.cn/post/129.html

标签: 安全漏洞

相关文章

Truncate Table的用法讲解

Truncate Table的用法讲解

TRUNCATE TABLE删除表中的所有行,而不记录单个行删除操作。语法TRUNCATE TABLE name参数name是要截断的表的名称或要删除其全部行的表的名称。注释TRU...

70条常用Linux基础命令总结

70条常用Linux基础命令总结

[root@ping ~]# tree -L 1 /   #使用tree 命令查看根目录下的一层的目录结构ls - list directory contents[root@pin...

ubuntu18.04 安装 LNMP

ubuntu18.04 安装 LNMP

环境:Ubuntu18.04 nginx1.4  php7.2  mysql5.71.安装 nginx#sudo apt install nginx确...

「漏洞通告」Apache Struts远程代码执行漏洞 S2-059/S2-060安全漏洞 (CVE-2019-0230,CVE-2019-0233)

「漏洞通告」Apache Struts远程代码执行漏洞 S2-059/S2-060安全漏洞 (CVE-2019-0230,CVE-2019-0233)

一、综述北京时间8月13日,Struts官方发布新的安全通告,公布了2个安全漏洞:S2-059(CVE-2019-0230)是一个潜在的远程代码执行漏洞,S2-060(CVE-2019-0233)是一...

jQuery实现的全选、反选和不选功能

jQuery实现的全选、反选和不选功能

适用于网页多选后需要进行批量操作的场景(如批量删除等)。如有问题希望大家可以指正。谢谢~~HTML我们的页面上有一个歌曲列表,列出多行歌曲名称,并匹配复选框供用户选择,并且在列表下方有一排操作按钮&l...