当前位置:首页 > 技术 > 正文内容

【漏洞预警】Apache Shiro < 1.6.0 权限绕过漏洞(CVE-2020-13933)

醉清风2020-08-18技术647
【漏洞描述】
2020年8月17日,Apache Shiro官方发布安全更新,修复了一个最新权限绕过漏洞。攻击者利用该漏洞可以绕过验证访问到后台功能,风险较高。

攻击者可以使用包含payload的恶意请求绕过Shiro的身份认证,漏洞于1.5.3修复。实际上,这个修复并不完全,由于shiro在处理url时与spring仍然存在差异,shiro最新版仍然存在身份校验绕过漏洞。

2020年8月17日,Apache Shiro发布1.6.0版本修复该漏洞绕过。腾讯安全专家提醒Apache Shiro用户尽快采取安全措施阻止漏洞攻击。

Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。

【漏洞等级】高

【影响版本】
Apache Shiro < 1.6.0


【安全版本】

Apache Shiro >= 1.6.0


相关链接

https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E


扫描二维码至手机访问

扫描二维码推送至手机访问。

版权声明:本文由红柚酱发布,如需转载请注明出处。

转载请注明出处:https://www.notenet.cn/post/129.html

标签: 安全漏洞

相关文章

laravel:分页样式自定义修改上一页下一页

laravel:分页样式自定义修改上一页下一页

以laravel5.5为例:(不同版本可能位置不同)默认的laravel分页模板位置:\vendor\laravel\framework\src\Illuminate\Pagination\resou...

PHP-FPM的配置与优化

PHP-FPM的配置与优化

php-fpm 介绍PHP-FPM(FastCGI Process Manager:FastCGI进程管理器)是一个PHPFastCGI管理器,用于管理 PHP 进程池、接收和处理 Web 服务器的请...

linux配置java环境变量

linux配置java环境变量

java开发,配置jdk环境变量是入坑的第一步,下面来看下。1、卸载系统自带java版本java -version查看Linux是否自带装了openjdkyum -y remove java*来卸载自...

mysql5.7 修改root密码无法登陆原因

mysql5.7 修改root密码无法登陆原因

升级的mysql5.7修改完root账户密码后仍然无法登陆,查阅资料可能和user表的plugin 字段为空有关。1、首先将my.ini中加入在[mysqld]节点上加skip-grant-table...

php+js实现图片的上传、裁剪、预览、提交

php+js实现图片的上传、裁剪、预览、提交

首先用到的语言是php、插件imgareaselect(下载地址:http://odyniec.net/projects/imgareaselect/),没有太多花哨的样式,代码如下:<!DOC...