专栏名称: 深信服千里目安全实验室
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
目录
相关文章推荐
三峡小微  ·  三峡集团召开2025年2月工作例会 ·  7 小时前  
三峡小微  ·  三峡集团综合快讯 ·  昨天  
中国航务周刊  ·  【年报】国际原油海运市场2025年展望 ·  2 天前  
交通运输部  ·  春运2025丨新春走基层:航标巡检守护海上春运安全 ·  2 天前  
中国航务周刊  ·  赫伯罗特24艘集装箱船,获绿色融资 ·  4 天前  
51好读  ›  专栏  ›  深信服千里目安全实验室

【漏洞通告】Apache Shiro未授权访问漏洞(CVE-2020-17510)

深信服千里目安全实验室  · 公众号  ·  · 2020-11-23 15:59

正文

Apache Shiro存在一个未授权访问漏洞,因为shiro在与spring组合使用时,处理url的方式和spring存在差别,导致授权的绕过。 通过构造特殊的HTTP请求,可以访问未授权的信息。

漏洞名称 : Apache Shiro未授权访问漏洞(CVE-2020-17510)

威胁等级 : 中

影响范围 : Apache Shiro < 1.7.0

漏洞类型 : 未授权访问

利用难度 : 未知


漏洞分析


1 Apache Shiro 组件 介绍

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。


2 漏洞描述

Apache Shiro存在一个未授权访问漏洞,因为shiro在与spring组合使用时,处理url的方式和spring存在差别,导致授权的绕过。通过构造特殊的HTTP请求,可以访问未授权的信息。


3 漏洞复现


影响范围


目前受影响的Apache Shiro版本:

Apache Shiro < 1.7.0


解决方案


1 官方修复建议

目前厂商已发布升级补丁修复漏洞,请受影响用户及时更新官方补丁。官方链接如下:

https://shiro.apache.org/download.html


时间轴


2020/11/2 Apache官方邮件揭露该漏洞

2020/11/19 深信服千里目安全实验室检测到该漏洞并发布漏洞安全通告







请到「今天看啥」查看全文


推荐文章
三峡小微  ·  三峡集团召开2025年2月工作例会
7 小时前
三峡小微  ·  三峡集团综合快讯
昨天
中国航务周刊  ·  【年报】国际原油海运市场2025年展望
2 天前
交通运输部  ·  春运2025丨新春走基层:航标巡检守护海上春运安全
2 天前
中国航务周刊  ·  赫伯罗特24艘集装箱船,获绿色融资
4 天前
新华网  ·  辣眼睛!这居然是山寨的“兵马俑”
8 年前
BMWsky宝马会  ·  全新5系插电混动版530Le也将华晨造,今年上市!
7 年前
直播海南  ·  健康 | 你为什么总瘦不下来?或许该避免这8个减肥误区!
7 年前
微设计  ·  最美庭院|这就是我想要的~
7 年前
环球物理  ·  【未来发展】新型计算将成为人工智能继续发展的关键支撑
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!