Apache Shiro 身份认证绕过漏洞风险通告（CVE-2022-32532）

近日，Apache官方发布安全通告，披露了Apache Shiro存在身份认证绕过漏洞，可导致攻击者绕过身份认证等危害，漏洞编号为CVE-2022-32532。

行业新闻

行业新闻 > Apache Shiro 身份认证绕过漏洞风险通告（CVE-2022-32532）

Apache Shiro 身份认证绕过漏洞风险通告（CVE-2022-32532）

发布时间：2022-07-04

近日，Apache官方发布安全通告，披露了Apache Shiro存在身份认证绕过漏洞，可导致攻击者绕过身份认证等危害，漏洞编号为CVE-2022-32532。

为避免客户的业务受影响，我们及时开展了安全自查，对在受影响范围内的服务器，及时更新修复，避免被外部攻击者入侵。

漏洞详情

Apache Shiro是一个强大且易用的Java安全框架，用于执行身份验证、授权、密码和会话管理。

当使用RegexRequestMatcher进行权限配置时，如果在 RegExPatternMatcher 正则表达式中使用带有 `.` 的表达式进行匹配时，可能会导致身份权限绕过。

风险等级

高风险

漏洞风险

攻击者利用该漏洞可导致绕过身份认证等危害

影响版本

Apache Shiro < 1.9.1

安全版本

Apache Shiro >= 1.9.1

修复建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

漏洞参考

https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh

Apache Shiro 身份认证绕过漏洞风险通告（CVE-2022-32532）

发布时间：2022-07-04

近日，Apache官方发布安全通告，披露了Apache Shiro存在身份认证绕过漏洞，可导致攻击者绕过身份认证等危害，漏洞编号为CVE-2022-32532。

为避免客户的业务受影响，我们及时开展了安全自查，对在受影响范围内的服务器，及时更新修复，避免被外部攻击者入侵。

漏洞详情

Apache Shiro是一个强大且易用的Java安全框架，用于执行身份验证、授权、密码和会话管理。

当使用RegexRequestMatcher进行权限配置时，如果在 RegExPatternMatcher 正则表达式中使用带有 `.` 的表达式进行匹配时，可能会导致身份权限绕过。

风险等级

高风险

漏洞风险

攻击者利用该漏洞可导致绕过身份认证等危害

影响版本

Apache Shiro < 1.9.1

安全版本

Apache Shiro >= 1.9.1

修复建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

漏洞参考

https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh

还在查找问题？直接联系万叁看看！还在查找问题？直接联系万叁看看！

我想咨询

#更有效的解决方案

有其它网络方面的问题？

有其它网络产品的需求？

Apache Shiro 身份认证绕过漏洞风险通告（CVE-2022-32532）

行业新闻

Apache Shiro 身份认证绕过漏洞风险通告（CVE-2022-32532）

Apache Shiro 身份认证绕过漏洞风险通告（CVE-2022-32532）