一、漏洞描述
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
Apache Shiro身份验证绕过漏洞CVE-2020-11989的修复补丁存在缺陷,在1.5.3及其之前的版本,由于shiro在处理url时与spring仍然存在差异,依然存在身份校验绕过漏洞由于处理身份验证请求时出错,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。
二、漏洞利用条件
使用单*的ant匹配
三、漏洞影响范围
Apache Shiro < 1.6.0
四、漏洞复现
1.不在请求路由中指定资源名称的时候,不会触发身份验证,也不会有资源返回;
2.在请求路由中指定资源名称时,302跳转到身份验证页面;
3.构造poc请求指定资源,不触发身份验证,并绕过权限(%3b绕过)
五、修复建议
升级到安全版本Apache Shiro >= 1.6.0
