近日,Apache官方发布安全通告,披露了Apache Shiro存在身份认证绕过漏洞,可导致攻击者绕过身份认证等危害,漏洞编号为CVE-2022-32532。
为避免客户的业务受影响,我们及时开展了安全自查,对在受影响范围内的服务器,及时更新修复,避免被外部攻击者入侵。
漏洞详情
Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。
当使用RegexRequestMatcher进行权限配置时,如果在 RegExPatternMatcher 正则表达式中使用带有 `.` 的表达式进行匹配时,可能会导致身份权限绕过。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致绕过身份认证等危害
影响版本
Apache Shiro < 1.9.1
安全版本
Apache Shiro >= 1.9.1
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
漏洞参考
https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh