CVE-2020-13933 | Apache Shiro身份验证绕过误差通告

首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-13933 | Apache Shiro身份验证绕过误差通告

宣布时间 2020-08-18

0x00 误差概述

CVE ID

CVE-2020-13933

时间

2020-08-18

类型

等级

高危

远程使用

是

影响规模

Apache Shiro < 1.6.0

0x01 误差详情

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2020年6月22日，，，，，，，Apache官方宣布通告，，，，，，，修复了一个Apache Shiro身份验证绕过误差（CVE-2020-11989），，，，，，，攻击者可通过结构恶意请求使用该误差来绕过身份验证，，，，，，，并宣布1.5.3版本。。。。。。。但这个修复并不完全，，，，，，，由于shiro在处置惩罚url时与spring仍然保存差别，，，，，，，shiro最新版仍然保存身份验证绕过误差。。。。。。。2020年8月17日Apache官方再次宣布通告，，，，，，，进一步修复Apache Shiro身份验证绕过误差（CVE-2020-13933），，，，，，，并宣布1.6.0版本。。。。。。。

0x02 处置惩罚建议

官方已宣布新版本，，，，，，，请升级到1.6.0版本，，，，，，，下载地点：

http://shiro.apache.org/download.html

0x03 相关新闻

https://www.tenable.com/cve/CVE-2020-13933

0x04 参考链接

https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E

0x05 时间线

2020-08-17 Apache官方宣布通告

2020-08-18 VSRC宣布误差通告

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究