【風(fēng)險通告】Apache Shiro認(rèn)證繞過漏洞
2020-06-24 00:00:00
金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Apache Shiro披露了一個認(rèn)證繞過漏洞,特定請求可能會導(dǎo)致身份認(rèn)證被繞過�。
建議用戶及時更新到安全版本,做好資產(chǎn)自查及預(yù)防工作�����,避免不必要的損失�。
漏洞名稱
Apache Shiro認(rèn)證繞過漏洞(CVE-2020-11989)
風(fēng)險等級
中危
漏洞描述
Apache Shiro是美國阿帕奇(Apache)軟件基金會的一套用于執(zhí)行認(rèn)證、授權(quán)����、加密和會話管理的Java安全框架。經(jīng)金山云安全團(tuán)隊分析��,Apache Shiro 1.5.3之前版本中存在認(rèn)證繞過漏洞�����,當(dāng) Apache Shiro 與Spring動態(tài)控制器一起使用時,特制請求可能會導(dǎo)致身份認(rèn)證繞過�����。
影響版本
Apache Shiro<1.5.3
修復(fù)建議
更新至1.5.3版本
下載地址:https://github.com/apache/shiro/releases
參考鏈接
http://shiro.apache.org/
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/06/24