【安全通告】Apache Shiro认证绕过漏洞公告（CVE-2020-17510）

尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到，Apache Shiro官方披露了一个认证绕过漏洞（漏洞编号：CVE-2020-17510），攻击者可发送特定HTTP请求绕过权限限制，获取敏感权限。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Apache Shiro 1.7.0之前的版本，当与Spring结合使用时，攻击者可发送特定HTTP请求导致验证绕过，获取敏感权限。

风险等级

中风险，需结合Spring使用环境

漏洞风险

漏洞利用，可导致认证绕过风险

影响版本

Apache Shiro < 1.7.0 版本

安全版本

Apache Shiro 1.7.0 或更新版本

修复建议

官方已发布漏洞修复更新，腾讯云安全建议您：

1）检查是否受影响：确认是否使用到Spring，如未使用到，则不受影响；

2）如在受影响范围，建议升级到【安全版本】。

漏洞参考

1）官方更新通告：https://www.mail-archive.com/user@shiro.apache.org/msg05870.html

2020-11-02