怎么進(jìn)行Apache Shiro 權(quán)限繞過(guò)漏洞通告

這篇文章將為大家詳細(xì)講解有關(guān)怎么進(jìn)行Apache Shiro 權(quán)限繞過(guò)漏洞通告，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

0x01 漏洞簡(jiǎn)述

2020年08月18日， 360CERT監(jiān)測(cè)發(fā)現(xiàn) Apache Shiro 發(fā)布了 Apahce Shiro 權(quán)限繞過(guò) 的風(fēng)險(xiǎn)通告，該漏洞編號(hào)為 CVE-2020-13933，漏洞等級(jí)：高危，漏洞評(píng)分：8.0。
Apahce Shiro 由于處理身份驗(yàn)證請(qǐng)求時(shí)出錯(cuò) 存在 權(quán)限繞過(guò)漏洞，遠(yuǎn)程攻擊者可以發(fā)送特制的HTTP請(qǐng)求，繞過(guò)身份驗(yàn)證過(guò)程并獲得對(duì)應(yīng)用程序的未授權(quán)訪(fǎng)問(wèn)。

對(duì)此，360CERT建議廣大用戶(hù)及時(shí)將 Apache Shiro 升級(jí)到最新版本。與此同時(shí)，請(qǐng)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

0x02 風(fēng)險(xiǎn)等級(jí)

360CERT對(duì)該漏洞的評(píng)定結(jié)果如下

0x03 漏洞詳情

Apache Shiro是一個(gè)強(qiáng)大且易用的Java安全框架,執(zhí)行身份驗(yàn)證、授權(quán)、密碼和會(huì)話(huà)管理。

之前Apache Shiro身份驗(yàn)證繞過(guò)漏洞CVE-2020-11989的修復(fù)補(bǔ)丁存在缺陷，在1.5.3及其之前的版本，由于shiro在處理url時(shí)與spring仍然存在差異，依然存在身份校驗(yàn)繞過(guò)漏洞由于處理身份驗(yàn)證請(qǐng)求時(shí)出錯(cuò)，遠(yuǎn)程攻擊者可以發(fā)送特制的HTTP請(qǐng)求，繞過(guò)身份驗(yàn)證過(guò)程并獲得對(duì)應(yīng)用程序的未授權(quán)訪(fǎng)問(wèn)。

0x04 影響版本

• Apache Shiro < 1.6.0

0x05 修復(fù)建議

通用修補(bǔ)建議：

升級(jí)到最新版本，下載地址為：http://shiro.apache.org/download.html  。

0x06 相關(guān)空間測(cè)繪數(shù)據(jù)

360安全大腦-Quake網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)通過(guò)對(duì)全網(wǎng)資產(chǎn)測(cè)繪，發(fā)現(xiàn)Apache Shiro在 全球 均有廣泛使用，具體分布如下圖所示。

0x07 產(chǎn)品側(cè)解決方案

360城市級(jí)網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)

360安全大腦的QUAKE資產(chǎn)測(cè)繪平臺(tái)通過(guò)資產(chǎn)測(cè)繪技術(shù)手段，對(duì)該類(lèi)漏洞進(jìn)行監(jiān)測(cè)，請(qǐng)用戶(hù)聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人或(quake##)獲取對(duì)應(yīng)產(chǎn)品。

關(guān)于怎么進(jìn)行Apache Shiro 權(quán)限繞過(guò)漏洞通告就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。