Apache Shiro 1.4.2 授权问题漏洞修复（CVE-2020-1957）

shiro 1.6.0 版本发布

Apache Shiro 1.6.0 发布！修复绕过授权高危漏洞

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://lists.apache.org/thread.html/rc64fb2336683feff3580c3c3a8b28e80525077621089641f2f386b63@%3Ccommits.camel.apache.org%3E

下载地址

1、官网下载地址：https://shiro.apache.org/download.html

不过二进制包下载地址失效，很多同学可能只能自行用JDK1.8 + Maven 打包，可以用如下方法：

2、访问网址：https://search.maven.org/

直接搜索 shiro-core 或者你需要的其他组件如shiro-web 等，下载对应版本

修复方法

替换线上的jar包即可，重启加载jar包的进程

问题

1、有可能你用的是knox ，knox加载shiro 版本过低造成的漏洞，目前knox 最新版本1.4.0 还是使用的shiro-core-1.4.2.jar等低版本组件，那么得自己升级knox的dep文件夹下的依赖包
shiro-cache-1.6.0.jar
shiro-config-core-1.6.0.jar
shiro-core-1.6.0.jar
shiro-ehcache-1.6.0.jar
shiro-lang-1.6.0.jar
shiro-web-1.6.0.jar

2、假如只升级了 shiro-core-1.6.0.jar 有可能导致其他隐藏bug，建议统一升级。