您好,登錄后才能下訂單哦!
這篇文章將為大家詳細(xì)講解有關(guān)怎么進(jìn)行Apache Shiro 權(quán)限繞過(guò)漏洞通告,文章內(nèi)容質(zhì)量較高,因此小編分享給大家做個(gè)參考,希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。
2020年08月18日, 360CERT監(jiān)測(cè)發(fā)現(xiàn) Apache Shiro
發(fā)布了 Apahce Shiro 權(quán)限繞過(guò)
的風(fēng)險(xiǎn)通告,該漏洞編號(hào)為 CVE-2020-13933
,漏洞等級(jí):高危
,漏洞評(píng)分:8.0
。Apahce Shiro
由于處理身份驗(yàn)證請(qǐng)求時(shí)出錯(cuò) 存在 權(quán)限繞過(guò)漏洞
,遠(yuǎn)程攻擊者可以發(fā)送特制的HTTP
請(qǐng)求,繞過(guò)身份驗(yàn)證過(guò)程并獲得對(duì)應(yīng)用程序的未授權(quán)訪(fǎng)問(wèn)。
對(duì)此,360CERT建議廣大用戶(hù)及時(shí)將 Apache Shiro
升級(jí)到最新版本。與此同時(shí),請(qǐng)做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。
360CERT對(duì)該漏洞的評(píng)定結(jié)果如下
評(píng)定方式 | 等級(jí) |
---|---|
威脅等級(jí) | 高危 |
影響面 | 廣泛 |
360CERT評(píng)分 | 8.0 |
Apache Shiro
是一個(gè)強(qiáng)大且易用的Java
安全框架,執(zhí)行身份驗(yàn)證、授權(quán)、密碼和會(huì)話(huà)管理。
之前Apache Shiro
身份驗(yàn)證繞過(guò)漏洞CVE-2020-11989
的修復(fù)補(bǔ)丁存在缺陷,在1.5.3
及其之前的版本,由于shiro
在處理url
時(shí)與spring
仍然存在差異,依然存在身份校驗(yàn)繞過(guò)漏洞由于處理身份驗(yàn)證請(qǐng)求時(shí)出錯(cuò),遠(yuǎn)程攻擊者可以發(fā)送特制的HTTP
請(qǐng)求,繞過(guò)身份驗(yàn)證過(guò)程并獲得對(duì)應(yīng)用程序的未授權(quán)訪(fǎng)問(wèn)。
Apache Shiro < 1.6.0
升級(jí)到最新版本,下載地址為:http://shiro.apache.org/download.html 。
360安全大腦-Quake網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)通過(guò)對(duì)全網(wǎng)資產(chǎn)測(cè)繪,發(fā)現(xiàn)Apache Shiro
在 全球
均有廣泛使用,具體分布如下圖所示。
360安全大腦的QUAKE資產(chǎn)測(cè)繪平臺(tái)通過(guò)資產(chǎn)測(cè)繪技術(shù)手段,對(duì)該類(lèi)漏洞進(jìn)行監(jiān)測(cè),請(qǐng)用戶(hù)聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人或(quake##)獲取對(duì)應(yīng)產(chǎn)品。
關(guān)于怎么進(jìn)行Apache Shiro 權(quán)限繞過(guò)漏洞通告就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò),可以把它分享出去讓更多的人看到。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。