不管是5.1.2还是5.1.3都先到这一步,但是它们执行的WebUtils.getPathWithinApplication(WebUtils.toHttp(request))有所差别 跟到WebUtils#getPathWithinApplication方法,这里Shiro对url的处理也是造成CVE-2020-11989的一个点。左边是修复之前的1.5.2版本,右边是当前版本1.5.3,采用getRequestUri,而getRequestUri里就进行...
Shiro 权限绕过 CVE-2020-13933分析 2020-08-19,Apache Shrio发布了CVE-2020-13933的漏洞, 其等级为高,影响范围为<=1.5.3。 在处理身份验证请求时存在权限绕过, 可发送特制的HTTP请求, 绕过身份验证过程并获得对应用的访问. 现对该漏洞进行分析。 Diff...
Apache Shiro 身份验证绕过漏洞复现(CVE-2020-13933) 0x00 漏洞描述 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 之前Apache Shiro身份验证绕过漏洞CVE-2020-11989的修复补丁存在缺陷,在1.5.3及其之前的版本,由于shiro在处理url时与spring仍然存在差异,依然存在身份校验绕过漏洞由...
Reduce your average CVE exposure time from 98 days to 1 day with expanded CVE patching, ten-years security maintenance and optional support for the full stack of open-source applications. Free for personal use. Get Ubuntu Pro Severity score breakdown ParameterValue Base score 7.5 · High Atta...
近日,京东云安全团队监测到Apache Shiro披露了Shiro 1.6之前版本中存在的权限执行漏洞(CVE-2020-13933)。攻击者可利用此漏洞发送一些HTTP请求绕过权限控制。 【漏洞描述】 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
腾讯T-Sec主机安全(云镜)漏洞库日期2020-08-18之后的版本,已支持检测云主机系统是否受Apache Shiro < 1.6.0 权限绕过漏洞(CVE-2020-13933)的影响。 腾讯T-Sec主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于腾讯T-Sec主机安全的更多信息,可参考:...
一、背景描述Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。2020年8月17日,Apache Shiro官方发...
Apache Shiro 权限绕过漏洞CVE-2020-13933 深信服千里目安全技术中心 2020-08-20 11:19:51 523721 一、漏洞分析 1.1 Apache Shiro组件介绍 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最...
根据shiro历史上的认证绕过漏洞,本质问题就是springboot对url的处理和shiro的处理不一致导致的认证绕过。 其中shiro的url处理的问题都出在org/apache/shiro/web/util/WebUtils.java类下面,在return publicstaticStringgetPathWithinApplication(HttpServletRequest request){returnnormalize(removeSemicolon(getServletPath(reques...
【摘要】 Apache Shiro身份验证绕过漏洞(CVE-2020-13933) 一、概要 近日华为云监测到Apache Shiro官方发布安全公告,披露在Apache Shiro < 1.6.0版本中存在一处身份验证绕过漏洞,攻击者通过发送特制HTTP请求可能会导致身份验证绕过。 华为云提醒使用Apache Shiro的用户及时安排自检并做好安全加固。