【風(fēng)險(xiǎn)通告】Apache Shiro認(rèn)證繞過漏洞
2020-06-24 00:00:00
金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache Shiro披露了一個(gè)認(rèn)證繞過漏洞����,特定請(qǐng)求可能會(huì)導(dǎo)致身份認(rèn)證被繞過。
建議用戶及時(shí)更新到安全版本�����,做好資產(chǎn)自查及預(yù)防工作,避免不必要的損失�。
漏洞名稱
Apache Shiro認(rèn)證繞過漏洞(CVE-2020-11989)
風(fēng)險(xiǎn)等級(jí)
中危
漏洞描述
Apache Shiro是美國(guó)阿帕奇(Apache)軟件基金會(huì)的一套用于執(zhí)行認(rèn)證、授權(quán)�、加密和會(huì)話管理的Java安全框架。經(jīng)金山云安全團(tuán)隊(duì)分析����,Apache Shiro 1.5.3之前版本中存在認(rèn)證繞過漏洞,當(dāng) Apache Shiro 與Spring動(dòng)態(tài)控制器一起使用時(shí)�,特制請(qǐng)求可能會(huì)導(dǎo)致身份認(rèn)證繞過。
影響版本
Apache Shiro<1.5.3
修復(fù)建議
更新至1.5.3版本
下載地址:https://github.com/apache/shiro/releases
參考鏈接
http://shiro.apache.org/
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/06/24