【漏洞通告】关于Apache Shiro 身份认证绕过漏洞安全风险通告(CVE-2022-40664)

安全通告

关于Apache Shiro 身份认证绕过漏洞安全风险通告

发布日期:2022-10-27

 

漏洞描述

Apache Shiro是一个强大且易用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能。

Apache官方披露了Apache Shiro存在身份验证绕过漏洞,当通过 RequestDispatcher 进行转发或包含时存在身份验证绕过漏洞。

漏洞编号

CVE-2022-40664

漏洞危害

攻击者可构造恶意代码利用该漏洞绕过 shiro 的身份验证,从而获取用户的身份权限

漏洞等级

高危
受影响版本

Apache Shiro < 1.10.0

修复方案

根据影响版本中的信息,排查并升级到安全版本:

Apache Shiro 1.10.0

下载链接:https://shiro.apache.org/download.html

参考链接

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40664