安全研究
安全漏洞
Apache Shiro 身份验证绕过漏洞(CVE-2020-1957)
发布日期:2020-03-18
更新日期:2020-03-27
受影响系统:Apache Group Shiro < 1.5.2
描述:
CVE(CAN) ID:
CVE-2020-1957
Apache Shiro是一套用于执行认证、授权、加密和会话管理的Java安全框架。
Apache Shiro 1.5.2之前版本在实现中存在身份验证绕过安全漏洞。在结合Spring dynamic controllers使用时,通过精心构造的请求包,远程攻击者利用此漏洞可以进行权限绕过。
<*来源:Apache
*>
建议:
厂商补丁:
Apache Group
------------
目前厂商已经发布了Shiro 1.5.2及以上版本,修复了这个安全问题,请到厂商的主页下载:
http://shiro.apache.org/download.html
参考:
https://seclists.org/oss-sec/2020/q1/120浏览次数:1421
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
