漏洞预警|Apache Shiro身份认证绕过漏洞

2022-7-6 13:44:8 Author: www.4hou.com(查看原文) 阅读量:33 收藏

开源漏洞深度分析

近日网上有关于开源项目Apache Shiro身份认证绕过漏洞 ,棱镜七彩安全研究院对漏洞进行了POC验证。

Cve编号:

CVE-2022-32532

项目介绍:

Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。

项目主页 :

https://shiro.apache.org/

代码托管地址:

https://github.com/apache/shiro

漏洞情况:

当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。

影响版本:

Apache Shiro < 1.9.1

修复方案:

目前Apache官方已发布此漏洞修复版本,建议用户尽快升级至Apache Shiro 1.9.1及以上版本。

参考链接:

https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1

https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/LBJD
如有侵权请联系:admin#unsafe.sh