9VSA21-00380-01 CSIRT comparte mitigaciones obtenidas de Apache

CSIRT comparte la información entregada por Apache, sobre vulnerabilidades que afectan a su producto Apache Shiro.

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte la información entregada por Apache, sobre vulnerabilidades que afectan a su producto Apache Shiro.

Este informe incluye las medidas de mitigación, consistentes en implementar medidas recomendadas por el proveedor e instalar las actualizaciones de los productos afectados cuando estén disponibles.

Vulnerabilidad

CVE-2020-17523

Impacto

La vulnerabilidad permite a un atacante remoto evadir procesos de autenticación enviando una solicitud HTTP especialmente diseñada, lo que le permitiría ganar acceso no autorizado a la aplicación.

CVE-2020-17523 existe debido a un error al procesar solicitudes de autenticación en Apache Shiro con Spring.

Productos afectados

Apache Shiro, versiones de la 1.0.0. a la 1.7.0.

Mitigación

Instalar las correspondientes actualizaciones desde el sitio del proveedor.

Enlaces

http://shiro.apache.org/documentation.html#current-release

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17523

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00380-01

9VSA21-00380-01 CSIRT comparte mitigaciones obtenidas de Apache

CSIRT comparte la información entregada por Apache, sobre vulnerabilidades que afectan a su producto Apache Shiro.

Documentos Relacionados