跳转至

Apache Shiro 权限绕过漏洞(CVE 2020 13933)

漏洞信息

2020年8月17日,Apache Shiro官方发布安全更新,修复了1.6.0版本之前存在的权限绕过漏洞,对应CVE编号为CVE-2020-13933。攻击者通过特制的HTTP请求将导致Shiro的权限机制被绕过,从而可以访问需要权限的页面,导致敏感信息泄露等危害。

漏洞危害

版本1.6.0之前的Apache Shiro,攻击者通过特制的HTTP请求将导致Shiro的权限机制被绕过,从而可以访问需要权限的页面,导致敏感信息泄露等危害。

影响范围

Apache Shiro <1.6.0

漏洞复现

修复方案

Shiro已经发布了安全修复版本1.6.0,建议受影响的用户升级到1.6.0即以上版本。

1.升级1.6.0版本及以上

2.尽量避免使用*通配符作为动态路由拦截器的URL路径表达式

参考资料

https://vas.riskivy.com/vuln-detail?id=54