安全通告
关于Apache Shiro 身份认证绕过漏洞安全风险通告
发布日期:2022-10-27
漏洞描述
Apache Shiro是一个强大且易用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能。
Apache官方披露了Apache Shiro存在身份验证绕过漏洞,当通过 RequestDispatcher 进行转发或包含时存在身份验证绕过漏洞。
漏洞编号
CVE-2022-40664
漏洞危害
攻击者可构造恶意代码利用该漏洞绕过 shiro 的身份验证,从而获取用户的身份权限
漏洞等级
高危
受影响版本
Apache Shiro < 1.10.0
修复方案
根据影响版本中的信息,排查并升级到安全版本:
Apache Shiro 1.10.0
下载链接:https://shiro.apache.org/download.html
参考链接
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40664