2020年8月17日,阿里云应急响应中心监测到Apache Shiro官方发布了安全更新,修复了一个最新的权限绕过漏洞。攻击者利用该漏洞可以绕过身份验证访问到Shiro后台,风险较高。

Apache Shiro是一个应用广泛的关于权限管理的用户认证与授权框架。近日,Apache Shiro被爆出存在绕过身份验证的漏洞(CVE-2020-11989)。攻击者可以使用包含payload的恶意请求绕过Shiro的身份验证,漏洞已经在1.5.3版本进行了修复。经过测试发现,本次修复并不彻底,由于Shiro在处理URL时与Spring框架仍然存在差异,Shiro的最新版本仍然存在绕过身份验证的漏洞。2020年8月17日,Apache Shiro官方发布1.6.0版本修复该漏洞。云防火墙已上线针对该漏洞的虚拟补丁。

漏洞影响范围:Apache Shiro 1.6.0以下版本

漏洞危险等级:高危

规则防护:云防火墙虚拟补丁已支持防护

规则类型:其他

安全建议:
  • 请将Apache Shiro升级至1.6.0及以上的安全版本。
  • 使用云防火墙的入侵防御功能进行安全防护。