【安全通报】Apache Shiro < 1.6.0 权限绕过漏洞（CVE-2020-13933）

Apache Shiro 是一个强大且易用的 Java 安全框架，执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API，您可以快速、轻松地获得任何应用程序，从最小的移动应用程序到最大的网络和企业应用程序。

白帽汇安全研究院监测到针对之前 Apache Shiro 身份验证绕过漏洞 CVE-2020-11989 的修复补丁存在缺陷，在1.5.3及其之前的版本，由于 shiro 在处理 url 时与 spring 仍然存在差异，依然存在身份校验绕过漏洞（CVE-2020-13933）。2020年8月17日，Apache Shiro 官方接收漏洞报告并发布1.6.0修复版本。

CVE 编号

CVE-2020-13933

影响范围

• Apache Shiro < 1.6.0

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Apache-Shiro"）共有 11,778 个相关服务对外开放。中国大陆使用数量最多，共有 10,193 个；中国香港第二，共有 471 个；美国第三，共有 405 个；新加坡第四，共有 122 个；南非第五，共有 108 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 2,061 个；北京第二，共有 961 个；广东第三，共有 417 个，山东第四，共有 280 个；上海第五，共有 202 个。

漏洞环境——Vulfocus

目前 Vulfocus 已经集成shiro相关的漏洞环境 ，可通过：docker pull vulfocus/shiro-cve_2020_1957、docker pull vulfocus/shiro-cve_2020_11989、docker pull vulfocus/shiro-cve_2016_4437 进行拉取运行，可也通过 http://vulfocus.fofa.so/ 进行测试。

修复建议

1. 目前官方已发布漏洞修复版本，更新 Apache Shiro >= 1.6.0。

参考

[1] https://mp.weixin.qq.com/s/-wcJ9TsBAAaIL0NePOmhxg

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。