【漏洞预警】Apache Shiro身份验证绕过漏洞安全风险通告
风险通告
近日,奇安信CERT监测到Apache Shiro官方发布Apache Shiro身份验证绕过漏洞(CVE-2021-41303),经过分析,当 Spring Boot 配合 Apache Shiro 进行鉴权时,攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。经过奇安信CERT研判,该漏洞触发条件苛刻,影响范围有限,建议客户升级到最新版本。
当前漏洞状态
漏洞描述
Apache Shiro是一个强大且易用的Java安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用Shiro的易用API,您可以快速、轻松地保护任何应用程序——从最小的移动应用程序到最大的WEB和企业应用程序。
近日,奇安信CERT监测到Apache Shiro官方发布Apache Shiro身份验证绕过漏洞(CVE-2021-41303),经过分析,当 Spring Boot 配合 Apache Shiro 进行鉴权时,攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。目前,已监测到公开的漏洞细节,只影响Apache Shiro 1.7.1版本,漏洞触发要求系统具备特定的权限配置,条件不容易满足。经过奇安信CERT研判,该漏洞触发条件苛刻,影响范围有限,建议客户升级到最新版本。
1、CVE-2021-41303 Apache Shiro身份验证绕过漏洞
奇安信CERT第一时间复现了CVE-2021-41303漏洞,复现截图如下:
风险等级
奇安信 CERT风险评级为:低危
风险等级:蓝色(一般事件)
影响范围
Apache Shiro < 1.8.0
处置建议
目前官方已发布Apache Shiro安全版本,建议尽快升级至安全版本:
https://shiro.apache.org/download.html
目前最新安全版本为:Apache Shiro 1.8.0
