Apache Shiro身份验证绕过漏洞 (CVE-2020-17510) 预警

投稿作者：网络安全威胁信息共享平台一、基本情况近日，监测发现Apache Shiro团队发布了Shiro 1.7.0之前版本存在身份验证绕过漏洞公告，漏洞编号：CVE-2020-17510，攻击者通过构造特殊HTTP请求来绕过身份验证，从而获取应用程序的访问权限。目前厂商已发布修复版本，建议受影响用户更新到1.7.0或以上版本，做好资产自查以及预防工作，以免

投稿作者：网络安全威胁信息共享平台

一、基本情况

近日，监测发现Apache Shiro团队发布了Shiro 1.7.0之前版本存在身份验证绕过漏洞公告，漏洞编号：CVE-2020-17510，攻击者通过构造特殊HTTP请求来绕过身份验证，从而获取应用程序的访问权限。目前厂商已发布修复版本，建议受影响用户更新到1.7.0或以上版本，做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞详情

Apache Shiro是Apache软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。

Apache Shiro 1.7.0之前版本与Spring结合使用时存在身份验证绕过漏洞，攻击者通过精心构造特殊的HTTP请求来绕过身份验证，从而获取应用程序的访问权限。

四、影响范围

Apache Shiro <1.7.0

五、处置建议

Apache官方已发布修复版本，建议受影响用户更新到1.7.0或以上版本。

下载地址：https://shiro.apache.org/download.html

六、参考链接

https://www.mail-archive.com/user@shiro.apache.org/msg05870.html