发布日期：2020-03-18
更新日期：2020-03-27

受影响系统：

Apache Group Shiro < 1.5.2

描述：

---

CVE(CAN) ID: CVE-2020-1957

Apache Shiro是一套用于执行认证、授权、加密和会话管理的Java安全框架。

Apache Shiro 1.5.2之前版本在实现中存在身份验证绕过安全漏洞。在结合Spring dynamic controllers使用时，通过精心构造的请求包，远程攻击者利用此漏洞可以进行权限绕过。

<*来源：Apache
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了Shiro 1.5.2及以上版本，修复了这个安全问题，请到厂商的主页下载：

http://shiro.apache.org/download.html

参考:
https://seclists.org/oss-sec/2020/q1/120

浏览次数：1627
严重程度：0（网友投票）