Apache Shiro认证绕过漏洞 (CVE-2020-11989)

来源:scanv2020.06.24

一 漏洞概述

Apache Shiro官网安全更新,其中 Apache Shiro 1.5.3之前版本中存在认证绕过漏洞。当 Apache Shiro 与Spring动态控制器一起使用时,特制请求可能会导致身份认证绕过。
Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

二 影响版本

Apache Shiro<1.5.3

三 复现过程

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Apache” 进行搜索,共得到 165,899,050 条 IP 历史记录,主要分布在美国等国家。

五 修复建议

Apache shiro官方5月3号发布1.5.3版本,强烈建议用户自查版本将Apache shiro升级至1.5.3版本。

升级链接如下:https://github.com/apache/shiro/releases

六 时间线

知道创宇发布漏洞情报时间:2020年6月24日

七 相关链接

Apache:https://shiro.apache.org/news.html#1.5.3-released

ZoomEye 网络空间搜索引擎:https://www.zoomeye.org/searchResult/report?q=app%3A%22Apache%22

热门文章

  • Kubernetes容器节点漏洞(CVE-2020-8558)

    Kubernetes存在一个容器漏洞(CVE-2020-8558),攻击者可能通过共享主机网络的容器,或在集群节点上访问同一个二层网络下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务,从而获取接口信息。如果服务没有设置必要的安全认证,可能造成信息泄露风险。

  • Citrix产品多个安全漏洞

    2020年7月7日,Citrix官方发布安全公告,在Citrix ADC、Citrix网关和Citrix SD-WAN WANOP 4000-WO、4100-WO、5000-WO和5100-WO版本中发现了多个漏洞。

  • PAN-OS GlobalProtect portal命令注入漏洞(CVE-2020-2034)

    2020年7月8日,Palo Alto Networks发布安全公告,修复了一个PAN-OS GlobalProtect portal中的命令注入漏洞(CVE-2020-2034),该漏洞导致未经身份验证的攻击者可在受影响的设备上以root权限执行任意OS命令。

关注知道创宇云安全

获取安全动态