安全通告-Apache Shiro身份验证绕过漏洞风险提示(CVE-2022-40664)
发布时间:2022-10-17
阅读次数:13003
一、 漏洞公告
近日,监测到 Apache Shiro 身份验证绕过漏洞(CVE-2022-40664),CVSS 评分 9.8。该漏洞是通过 RequestDispatcher 转发或包含时 Shiro 中的身份验证绕过漏洞。此漏洞影响范围广泛,建议受影响的用户尽快采取安全措施。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2022-40664
https://lists.apache.org/thread/ynx4mx9phc61ctr80lbwp1rsg2lmn6k4
二、影响范围
受影响版本:
Apache Shiro < 1.10.0
安全版本:
Apache Shiro 1.10.0 或更高版
三、漏洞描述
Apache Shiro 是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码和会话管理。
Apache Shiro 身份验证绕过漏洞(CVE-2022-40664):该漏洞是通过RequestDispatcher 转发或包含时 Shiro 中的身份验证绕过漏洞。在 Apache Shiro 1.10.0 之前,攻击者可构造恶意代码利用该漏洞绕过 shiro 的身份验证,从而获取用户的身份权限。
四、缓解措施
高危:目前漏洞细节和测试代码暂未公开,但是恶意攻击者可以通过补丁对比方式分析出漏洞触发点,建议受影响用户及时更新至安全版本。
官方建议:
1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:
https://shiro.apache.org/download.html
来源:Apache官方
/
网络安全