特征表现:由于 Shiro 和 Spring 对 URL 处理的差异,攻击者可以通过构造特定的 URL 来绕过 Shiro 的权限控制,实现未授权访问。 识别方法:通过构造恶意 URL(如 /xxx/..;/admin/)来测试是否可以访问受限资源。 Shiro 身份验证绕过(CVE-2020-13933) 特征表现:该漏洞是 CVE-2020-11989 修复补