Apache Shiro 权限绕过漏洞(CVE 2020 13933)
漏洞信息¶
2020年8月17日,Apache Shiro官方发布安全更新,修复了1.6.0版本之前存在的权限绕过漏洞,对应CVE编号为CVE-2020-13933。攻击者通过特制的HTTP请求将导致Shiro的权限机制被绕过,从而可以访问需要权限的页面,导致敏感信息泄露等危害。
漏洞危害¶
版本1.6.0之前的Apache Shiro,攻击者通过特制的HTTP请求将导致Shiro的权限机制被绕过,从而可以访问需要权限的页面,导致敏感信息泄露等危害。
影响范围¶
Apache Shiro <1.6.0
漏洞复现¶
修复方案¶
Shiro已经发布了安全修复版本1.6.0,建议受影响的用户升级到1.6.0即以上版本。
1.升级1.6.0版本及以上
2.尽量避免使用*通配符作为动态路由拦截器的URL路径表达式