安全通告
Apache Shiro身份认证绕过漏洞风险通告
发布日期:2022-6-30
漏洞描述
近日,捕获到 Apache Shiro 身份认证绕过漏洞 0day 相关漏洞情报,攻击者可以通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,可执行身份验证、授权、加密和会话管理,借助 Shiro 易于理解的 API,用户可以快速、轻松地保护任何应用程序。
漏洞编号
CVE-2022-32532
漏洞危害
当 Apache Shiro中使用 RegexRequestMatcher 方式进行权限配置,且正则表达式中携带”.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。
漏洞等级
高危
受影响版本
| Apache Shiro | 是否受影响 |
| < 1.9.1 | 是 |
| >= 1.9.1 | 否 |
修复方案
目前 Apache 官方已发布此漏洞修复版本,建议用户尽快升级至 Apache Shiro 1.9.1 及以上版本。
参考链接
- https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1