Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞

来源: 投稿
作者: 冷冷zz
2020-08-18

Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞

Apache Shiro 是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码和会话管理。使用 Shiro 的易于理解的 API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

更新日志

  • 过滤器链解析不正确。

  • Base64 工具类#decode.异常

  • 添加对全局过滤器支持

  • 更新相关依赖

CVE-2020-13933 安全漏洞

CVE-2020-11989(2020.6 的安全漏洞)的修复补丁存在缺陷,由于 shiro 在处理 url 时与 spring 存在差异,处理身份验证请求时出错导致依然存在身份校验绕过漏洞,远程攻击者可以发送特制的 HTTP 请求,绕过身份验证过程并获得对应用程序的未授权访问。

Apache Shiro < 1.6.0 都会有此问题 ,请大家及时升级

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-all</artifactId>
  <version>1.6.0</version>
  <type>pom</type>
</dependency>
展开阅读全文
8 收藏
分享
加载中
最新评论 (5)
这货昨天才发的版本?
2020-08-19 13:18
0
回复
举报
您好,请问原理验证代码在哪里?有代码可以试一下吗?怎么试一下?
2020-08-19 10:35
0
回复
举报
对比下代码版本,然后研究下应该就可以比较快的知道怎么利用了
2020-08-19 17:00
0
回复
举报
😧
2020-08-18 20:35
0
回复
举报
😳
2020-08-18 20:29
0
回复
举报
更多评论
7 评论
8 收藏
分享
返回顶部
顶部