聲明：該文章由作者（ksbugs-so）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。。

應(yīng)用介紹：

Apache Shiro是美國(guó)阿帕奇（Apache）軟件基金會(huì)的一套用于執(zhí)行認(rèn)證、授權(quán)、加密和會(huì)話管理的Java安全框架。

Apache Shiro 1.5.3之前版本中存在安全漏洞。攻擊者可借助特制請(qǐng)求利用該漏洞繞過身份驗(yàn)證。

CVE編號(hào)：CVE-2020-11989

威脅程度：高危

影響范圍：Apache Shiro ≤ 1.5.3

漏洞描述：

當(dāng) Apache Shiro 與 Spring Dynamic Controllers 一起使用時(shí)，遠(yuǎn)程攻擊者可以通過構(gòu)造惡意請(qǐng)求包進(jìn)行利用，成功利用此漏洞可繞過身份驗(yàn)證。

修復(fù)建議：

官方已發(fā)布漏洞修復(fù)版本，下載地址：https://github.com/apache/shiro/releases

來源地址：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11989

另外，昨天還有兩個(gè)Apache漏洞也需要一并關(guān)注：

《Apache Dubbo遠(yuǎn)程代碼執(zhí)行漏洞》地址：http://jjbxz.cn/article/intelnet/safe/2167.html

《Apache Spark存在遠(yuǎn)程代碼執(zhí)行漏洞》地址：http://jjbxz.cn/article/intelnet/safe/2166.html

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/