Apache Shiro 1.6.0 發(fā)布！修復(fù)繞過(guò)授權(quán)高危漏洞

作者 |?冷冷zz

來(lái)源 |?https://www.oschina.net/news/118006/apache-shiro-1-6-0-released?utm_source=new_prj_news

Apache Shiro 1.6.0 發(fā)布！修復(fù)繞過(guò)授權(quán)高危漏洞

Apache Shiro 是一個(gè)強(qiáng)大且易用的 Java 安全框架,執(zhí)行身份驗(yàn)證、授權(quán)、密碼和會(huì)話管理。使用 Shiro 的易于理解的 API,您可以快速、輕松地獲得任何應(yīng)用程序,從最小的移動(dòng)應(yīng)用程序到最大的網(wǎng)絡(luò)和企業(yè)應(yīng)用程序。

更新日志

• 過(guò)濾器鏈解析不正確。

• Base64 工具類#decode.異常

• 添加對(duì)全局過(guò)濾器支持

• 更新相關(guān)依賴

CVE-2020-13933 安全漏洞

CVE-2020-11989（2020.6 的安全漏洞）的修復(fù)補(bǔ)丁存在缺陷，由于 shiro 在處理 url 時(shí)與 spring 存在差異，處理身份驗(yàn)證請(qǐng)求時(shí)出錯(cuò)導(dǎo)致依然存在身份校驗(yàn)繞過(guò)漏洞，遠(yuǎn)程攻擊者可以發(fā)送特制的 HTTP 請(qǐng)求，繞過(guò)身份驗(yàn)證過(guò)程并獲得對(duì)應(yīng)用程序的未授權(quán)訪問(wèn)。

Apache Shiro < 1.6.0 都會(huì)有此問(wèn)題 ，請(qǐng)大家及時(shí)升級(jí)

<dependency>
??<groupId>org.apache.shirogroupId>
??<artifactId>shiro-allartifactId>
??<version>1.6.0version>
??<type>pomtype>
dependency>