報告編號:B6-2020-081801html
報告來源:360CERTspring
報告做者:360CERTapache
更新日期:2020-08-18安全
0x01 漏洞簡述
2020年08月18日, 360CERT監測發現 Apache Shiro 發佈了 Apahce Shiro 權限繞過 的風險通告,該漏洞編號爲 CVE-2020-13933,漏洞等級:高危,漏洞評分:8.0。Apahce Shiro 因爲處理身份驗證請求時出錯 存在 權限繞過漏洞,遠程攻擊者能夠發送特製的HTTP請求,繞過身份驗證過程並得到對應用程序的未受權訪問。微信
對此,360CERT建議廣大用戶及時將 Apache Shiro 升級到最新版本。與此同時,請作好資產自查以及預防工做,以避免遭受黑客攻擊。網絡
0x02 風險等級
360CERT對該漏洞的評定結果以下框架
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 高危 |
| 影響面 | 普遍 |
| 360CERT評分 | 8.0 |
0x03 漏洞詳情
Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、受權、密碼和會話管理。網站
以前Apache Shiro身份驗證繞過漏洞CVE-2020-11989的修復補丁存在缺陷,在1.5.3及其以前的版本,因爲shiro在處理url時與spring仍然存在差別,依然存在身份校驗繞過漏洞因爲處理身份驗證請求時出錯,遠程攻擊者能夠發送特製的HTTP請求,繞過身份驗證過程並得到對應用程序的未受權訪問。url
0x04 影響版本
Apache Shiro < 1.6.0spa
0x05 修復建議
通用修補建議:
升級到最新版本,下載地址爲:http://shiro.apache.org/download.html 。
0x06 相關空間測繪數據
360安全大腦-Quake網絡空間測繪系統經過對全網資產測繪,發現Apache Shiro在 全球 均有普遍使用,具體分佈以下圖所示。
0x07 產品側解決方案
360城市級網絡安全監測服務
360安全大腦的QUAKE資產測繪平臺經過資產測繪技術手段,對該類漏洞進行監測,請用戶聯繫相關產品區域負責人或(quake#360.cn)獲取對應產品。
0x08 時間線
2020-08-17 Apache Shiro發佈通告
2020-08-18 360CERT發佈通告
0x09 參考連接
一、 Apahce Shiro 官方通告
https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E
推薦閱讀:
長按下方二維碼關注360CERT!謝謝你的關注!
注:360CERT官方網站提供 《CVE-2020-13933: Apache Shiro 權限繞過漏洞通告》 完整詳情,點擊閱讀原文
本文分享自微信公衆號 - 三六零CERT(CERT-360)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。