云服务器shiro修复,Apache Shiro < 1.7.0 权限绕过漏洞（CVE-2020-17510）

最新推荐文章于 2025-03-17 11:14:44 发布

李_涛

最新推荐文章于 2025-03-17 11:14:44 发布

阅读量1.3k

点赞数

文章标签：云服务器shiro修复

本文介绍 Apache Shiro<1.7.0 版本中存在的一处权限绕过漏洞 (CVE-2020-17510) 及其修复方法。该漏洞允许攻击者通过恶意请求绕过身份验证获取敏感权限。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

今天服务器上面提示有漏洞预警提示：Apache Shiro < 1.7.0 权限绕过漏洞(CVE-2020-17510)，接下来吾爱编程为大家介绍一下Apache Shiro < 1.7.0 权限绕过漏洞的修复方法，有需要的小伙伴可以参考一下：

1、漏洞描述：

Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。近日，Apache Shiro发布1.7.0版本，修复了 Apache

Shiro 身份验证绕过漏洞 (CVE-2020-17510)。攻击者可以使用包含payload的恶意请求绕过Shiro的身份认证。

2、漏洞详情：Apache Shiro 1.7.0之前的版本，当与Spring结合使用时，攻击者可发送特定HTTP请求导致验证绕过，获取敏感权限。

3、影响版本：Apache Shiro

4、修复建议：

(1)、检查是否受影响：确认是否使用到Spring，如未使用到，则不受影响；

(2)、如在受影响范围，建议升级到【安全版本】。

5、相关链接：https:[email protected]/msg05870.html

https://shiro.apache.org/news.html

以上就说吾爱编程为大家介绍的关于Apache Shiro < 1.7.0 权限绕过漏洞的修复方法，了解更多相关文章请关注吾爱编程网！

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

李_涛

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Shiro 权限绕过漏洞复现（CVE-2020-1957）

m0_48520508的博客

01-27

2748

0x00简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 0x01漏洞概述 Shiro框架通过拦截器功能来对用户访问权限进行控制，如anon, authc等拦截器。anon为匿名拦截器，不需要登录即可访问；authc为登录拦截器，需要登录才可以访问。主要是Spring web在匹配url的时候没有匹配上/导致绕过 0x02影响范围 Ap

Apache Shiro身份认证绕过漏洞复现(CVE-2020-17523)

qq_38641816的博客

02-05

3707

1，安装直接copy代码下载，运行即可 https://github.com/jweny/shiro-cve-2020-17523 2，复现 3，分析其实就是空格绕过了身份验证进入domatch函数发现pathdirs中只剩下了admin，空格字段没有了主要就是trim函数去掉了空格导致最后在这里返回false ...

参与评论您还未登录，请先登录后发表或查看评论

Apache Shiro ＜ 1.7.0 权限绕过漏洞集合

java小白翻身

10-08

1188

今天发现阿里云服务器出现了告警： shiro 1.3.2 进程ID：3932 路径：xxx\shiro-core-1.3.2.jar 命中：shiro version less than 1.7.0 网上一搜，找到了如下资料： 2020年11月2日，阿里云应急响应中心监测到Apache Shiro官方发布安全更新，修复了一个最新权限绕过漏洞。攻击者利用该漏洞可以绕过验证访问到后台功能，风险较高。漏洞描述 Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。近日，Apache Shiro发

Shiro框架漏洞看了你就会了（含靶场复现）网络安全零基础入门到精通实战教程！

最新发布

2301_79455190的博客

03-17

931

CVE-2010-3863是Apache Shiro框架中存在的一个安全漏洞，它允许攻击者通过构造特定的URI请求来绕过身份验证和授权机制，从而访问受限的资源。这个漏洞主要影响Apache Shiro 1.1.0之前的版本以及JSecurity 0.9.x版本。CVE-2016-4437漏洞主要影响Apache Shiro的“rememberMe”功能，该功能允许用户在关闭浏览器后仍然保持会话。当该功能被启用时，Shiro会将用户的会话信息序列化并存储在一个cookie中，以便在用户重新访问时恢复会话。

绕过漏洞危害_Apache Shiro 权限绕过漏洞通告（CVE202017510）

weixin_42467508的博客

12-08

375

一漏洞简述2020年10月30日，Apache Shiro团队发布1.7.0版本，修复了之前版本存在的身份绕过漏洞。1.7.0之前的Apache Shiro，与Spring结合使用Apache Shiro时，存在可构造恶意HTTP请求绕过身份认证实现未授权进入系统后台风险，建议用户及时升级到最新版本。二危害等级和版本1危害等级高2影响版本Apache Shiro < 1.7....

框架、组件漏洞系列4：Apache shiro漏洞汇总

W0ngk，一个安全菜鸡，一直在模仿，尚未有超越。

12-14

4011

一、Apache Shiro 简介 1、什么是shiro Apache Shiro提供了认证、授权、加密和会话管理功能，将复杂的问题隐藏起来，提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实现此目标时无须依赖第三方的框架、容器或服务，当然也能做到与这些环境的整合，使其在任何环境下都可拿来使用。 Shiro将目标集中于Shiro开发团队所称的“四大安全基石”-认证（Authentication）、授权（Authorization）、会话管理（Session Management）和加.

zookeeper 未授权访问_【漏洞通告】Apache Shiro未授权访问漏洞（CVE202017510）

weixin_39770311的博客

12-08

939

Apache Shiro存在一个未授权访问漏洞，因为shiro在与spring组合使用时，处理url的方式和spring存在差别，导致授权的绕过。通过构造特殊的HTTP请求，可以访问未授权的信息。漏洞名称 :Apache Shiro未授权访问漏洞(CVE-2020-17510)威胁等级 : 中危影响范围:Apache Shiro < 1.7.0漏洞类型 : 未授权访问利用难度...

shiro-cve-2020-17523:shiro-cve-2020-17523 漏洞的两种绕过姿势分析以及配套的漏洞环境

05-23

Apache Shiro 两种姿势绕过认证分析（CVE-2020-17523） 0x01 漏洞描述 Apache Shiro是一个强大且易用的Java安全框架，执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API，您可以快速、轻松地获得任何...

分析Apache Shiro漏洞CVE-2020-17523的两种绕过方法

然而，在2020年，Shiro曝出一个严重的安全漏洞，即CVE-2020-17523，这一漏洞允许攻击者在特定条件下绕过认证系统，对应用程序的安全造成严重威胁。 CVE-2020-17523漏洞描述：该漏洞存在于Apache Shiro的早期版本中...

CVE-2016-4437 Shiro反序列化漏洞复现

weixin_45260839的博客

05-15

3018

CVE-2016-4437 Shiro反序列化漏洞复现

shiro-core-1.7.0.jar

01-27

Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。...2020年8月17日，Apache Shiro发布1.6.0版本修复该漏洞绕过。阿里云应急响应中心提醒Apache Shiro用户尽快采取安全措施阻止漏洞攻击。

Apache-shiro-1.7.0.zip下载

09-03

老版本存在Shiro命令执行漏洞，使用漏洞工具测试，可以发送命令至服务器获得执行。需要升级最新的shiro文件。

cvss漏洞评分标准_CVE202017510| Apache Shiro身份验证绕过漏洞通告

weixin_39534002的博客

12-23

267

0x00 漏洞概述CNVD IDCVE-2020-17510时间2020-11-03类型身份验证绕过等级高危远程利用是影响范围Apache Shiro <1.7.0Apache Shiro是一个强大且易用的Java安全框架,其支持身份验证、授权、密码和会话管理等。使用Shiro的API,可以快速、轻松地获得任何应用程序。0x01 漏洞详情2020年10月...

[更新1.0:补丁绕过]CVE-2020-14882: Weblogic Console HTTP 远程代码执行漏洞通告

爱国小白帽

10-30

1869

原创 360CERT [三六零CERT](javascript:void(0)???? 今天报告编号：B6-2020-103001 报告来源：360CERT 报告作者：360CERT 更新日期：2020-10-30 0x01 漏洞简述 2020年10月30日，360CERT监测发现Oracle官方的 CVE-2020-14882 Weblogic 代码执行漏洞最新补丁可被绕过，该漏洞编号为 CVE-2020-14882 ，漏洞等级：严重，漏洞评分：9.8。远程攻击者可以构造特殊的HTTP请求，在未经

Shiro权限绕过漏洞（CVE-2020-1957，CVE-2020-11989、CVE-2020-13933）

weixin_46411728的博客

07-22

3003

Shiro权限绕过漏洞（CVE-2020-1957，CVE-2020-11989、CVE-2020-13933）

Apache Shiro权限绕过漏洞

hovcfuti的博客

10-11

336

Apache Shiro 1.5.2之前的版本，由于Shiro拦截器和requestURI的匹配流程与Web框架的拦截器的匹配流程有差异，攻击者构造一个特殊的http请求，可以绕过Shiro的认证，未授权访问敏感路径。此漏洞有两种攻击方式，第一种攻击方式适用于Shiro < 1.5.0版本，由于Shiro 1.5.0版本修复补丁考虑不全面，导致补丁绕过，出现了第二种攻击方式，适用于Shiro < 1.5.2版本。/admin/ 构造恶意请求。使用BurpSuite抓取数据包，访问。

Shiro 权限绕过漏洞（CVE-2020-1957）复现

玄道的网安博客

08-25

6161

漏洞分析 https://github.com/apache/shiro/commit/9762f97926ba99ac0d958e088cae3be8b657948d 主要是Spring web在匹配url的时候没有匹配上/导致绕过环境搭建下载代码 https://github.com/lenve/javaboy-code-samples/tree/master/shiro/shiro-basic 导入idea 修改Shiro版本1.4.2 <dependency&gt

Apache Shiro身份认证绕过漏洞分析

Hacker_LaoYi的博客

12-22

515

2021年2月1日，Apache Shiro官方发布漏洞通告，漏洞编号为：CVE-2020-17523。当Apache Shiro与Spring框架结合使用时，攻击者可以通过构造特殊的HTTP请求数据包，绕过身份认证匹配规则。

Shiro身份验证绕过漏洞及修复方案

lecoder的博客

10-18

2914

近期Shiro修复了一个身份验证绕过漏洞，1.10.0之前的版本在请求forward或include时不进行拦截鉴权