近日，Apache Shiro官方更新发布了1.7.0之前版本存在身份验证绕过的漏洞公告（邮件列表），对应CVE编号：CVE-2020-17510，相关链接：

https://www.mail-archive.com/user@shiro.apache.org/msg05870.html

根据描述，Apache Shiro 1.7.0之前版本与Spring结合使用时，恶意攻击者可以构造特殊HTTP请求来绕过身份验证，从而获得原本受限的访问权限，建议使用该组件的系统及时更新到漏洞修复的版本。

影响范围

Apache Shiro身份验证绕过漏洞（CVE-2020-17510）影响以下版本：

Apache Shiro 1.7.0之前版本，建议更新到1.7.0或以上版本

官方下载地址：

http://shiro.apache.org/download.html

GitHub更新版本地址：

https://github.com/apache/shiro/releases

漏洞描述

Apache Shiro身份验证绕过漏洞（CVE-2020-17510），Apache Shiro 1.7.0之前版本与Spring结合使用场景中，恶意攻击者可以通过构造行特殊HTTP请求绕过身份验证，从而突破原本受限的权限。

缓解措施

目前漏洞细节和利用代码虽暂未公开，但可以通过补丁对比方式逆向分析出漏洞触发点，并进一步开发出漏洞利用代码，建议使用该组件的系统及时更新到漏洞修复的版本。