Apache Shiro 权限绕过漏洞（CVE 2020 13933）

漏洞信息¶

2020年8月17日，Apache Shiro官方发布安全更新，修复了1.6.0版本之前存在的权限绕过漏洞，对应CVE编号为CVE-2020-13933。攻击者通过特制的HTTP请求将导致Shiro的权限机制被绕过，从而可以访问需要权限的页面，导致敏感信息泄露等危害。

漏洞危害¶

版本1.6.0之前的Apache Shiro，攻击者通过特制的HTTP请求将导致Shiro的权限机制被绕过，从而可以访问需要权限的页面，导致敏感信息泄露等危害。

影响范围¶

Apache Shiro <1.6.0

漏洞复现¶

修复方案¶

Shiro已经发布了安全修复版本1.6.0，建议受影响的用户升级到1.6.0即以上版本。

1.升级1.6.0版本及以上

2.尽量避免使用*通配符作为动态路由拦截器的URL路径表达式

参考资料¶

https://vas.riskivy.com/vuln-detail?id=54