I. Información general

Apache Shiro ha publicado recientemente un aviso de seguridad que revela la existencia de una vulnerabilidad de bypass de autenticación (CVE-2020-17523) en las versiones anteriores a Apache Shiro 1.7.1. Si las versiones vulnerables de Apache Shiro se utilizan con Spring, los atacantes pueden enviar solicitudes HTTP especialmente diseñadas para evitar la autenticación de identidad.

Si usted es un usuario de Apache Shiro, verifique su versión e implemente mejoras de seguridad de manera oportuna.

Para obtener más información sobre esta vulnerabilidad, visite el siguiente sitio web:

https://shiro.apache.org/security-reports.html

II. Severidad

Severidad: importante

(Severidad: baja, moderada, importante o crítica)

III. Productos afectados

Versiones afectadas:

Anteriores a Apache Shiro 1.7.1

Versiones seguras:

Apache Shiro 1.7.1

IV. Manejo de la vulnerabilidad

Esta vulnerabilidad se corrigió en la última versión oficial (1.7.1). Si su versión está dentro del rango afectado, instale la versión segura.

Enlace de descarga: https://github.com/apache/shiro/releases

Nota: Antes de corregir vulnerabilidades, haga una copia de respaldo de sus archivos y realice una prueba exhaustiva.