笑看尘世|Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞,尽快升级

Apache shiro 1.6.0 发布!修复绕过授权高危漏洞
Apache Shiro 是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码和会话管理 。 使用 Shiro 的易于理解的 API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序 。
笑看尘世|Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞,尽快升级
更新日志

  • 过滤器链解析不正确 。
  • Base64 工具类#decode.异常
  • 添加对全局过滤器支持
  • 更新相关依赖
CVE-2020-13933 安全漏洞【笑看尘世|Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞,尽快升级】CVE-2020-11989(2020.6 的安全漏洞)的修复补丁存在缺陷 , 由于 shiro 在处理 url 时与 spring 存在差异 , 处理身份验证请求时出错导致依然存在身份校验绕过漏洞 , 远程攻击者可以发送特制的 HTTP 请求 , 绕过身份验证过程并获得对应用程序的未授权访问 。
Apache Shiro < 1.6.0 都会有此问题, 请大家及时升级
org.apache.shiroshiro-all1.6.0pom


    推荐阅读