QQ咨询
电话
微信扫码咨询
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shiro和spring的用户都需升级到最新的shiro-1.7.1版本。
由于shiro的api没有大的改变,即使是从jspxcms-8.5版本的shiro-1.3.2也可顺利升级至shiro-1.7.1。升级方式如下:
/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是shiro-1.7.1依赖encoder-1.2.2.jar,也需将这个jar包一起拷贝进去。为方便大家快速升级,这里提供了shiro-1.7.1相关jar包的下载(包含encoder-1.2.2.jar):shiro-1.7.1.zip