漏洞概述CVE-2016-4977 是 Spring Security OAuth 模块中的一个高危远程代码执行漏洞，影响版本为 1.0.0–1.0.5 和 2.0.0–2.0.9。攻击者通过构造恶意 SpEL（Spring Expression Language）表达式注入到错误处理流程中，触发远程命令执行。该漏洞的利用需攻击者具备合法身份认证（如通过 OAuth 授权流程），但在已授权场景下

漏洞概述CVE-2020-1957 是 Apache Shiro 框架（1.5.2 之前版本）与 Spring 框架集成时存在的权限绕过漏洞。攻击者通过构造包含特殊字符（如 /、;）的 URL 路径，利用 Shiro 与 Spring 对路径解析的差异，绕过权限校验并访问受保护的资源。该漏洞可导致未授权访问敏感接口或数据，CVSS 评分为 7.5（高危）。 技术细节分析1. 漏洞成因 路径解析

漏洞概述CVE-2010-3863 是 Apache Shiro（原 JSecurity）框架中的路径标准化缺陷漏洞，影响版本为 Shiro 1.1.0 之前。攻击者通过构造包含冗余字符（如 **/./**、//、../）的 URL 绕过权限校验逻辑，直接访问受保护的资源（如/admin接口）。本报告基于用户提供的源码进行详细分析。 技术细节分析1. 漏洞成因 路径匹配逻辑缺陷：Shiro 的