安全通告-Apache Shiro 身份认证绕过漏洞风险提示(CVE-2022-32532)
发布时间:2022-06-30
阅读次数:13022
一、漏洞公告
2022年6月29日,Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。目前该漏洞利用细节已公开,官方已在Apache Shiro 1.9.1版本中修复该漏洞,建议受影响的用户及时更新至安全版本。
参考链接:
https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh
二、影响范围
受影响版本:
Apache Shiro < 1.9.1
安全版本:
Apache Shiro = 1.9.1
三、漏洞描述
Apache Shiro是一个功能强大且易于使用的Java安全框架,它可以执行身份验证、授权、加密和会话管理,可以用于保护任何应用程序——从命令行应用程序、移动应用程序到最大的web和企业应用程序。
Apache Shiro存在一个权限绕过漏洞,当 Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。
四、缓解措施
中危:目前漏洞细节和POC代码已公开,官方已发布相关安全版本,建议部署相关产品的用户及时测试并更新。
官方建议:
1、目前官方已在2022年6月29日发布Apache Shiro 1.9.1版本,建议受影响的用户更新至最新安全版本。
下载链接:
https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh
来源:Apache官方
/
网络安全