關(guān)于Apache Shiro 身份認(rèn)證繞過(guò)漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2022-10-27

漏洞描述

Apache Shiro是一個(gè)強(qiáng)大且易用的Java安全框架，它具有身份驗(yàn)證、訪問(wèn)授權(quán)、數(shù)據(jù)加密、會(huì)話管理等功能。

Apache官方披露了Apache Shiro存在身份驗(yàn)證繞過(guò)漏洞，當(dāng)通過(guò) RequestDispatcher 進(jìn)行轉(zhuǎn)發(fā)或包含時(shí)存在身份驗(yàn)證繞過(guò)漏洞。

漏洞編號(hào)

CVE-2022-40664

漏洞危害

攻擊者可構(gòu)造惡意代碼利用該漏洞繞過(guò) shiro 的身份驗(yàn)證，從而獲取用戶(hù)的身份權(quán)限

漏洞等級(jí)

高危
受影響版本

Apache Shiro < 1.10.0

修復(fù)方案

根據(jù)影響版本中的信息，排查并升級(jí)到安全版本：

Apache Shiro 1.10.0

下載鏈接：https://shiro.apache.org/download.html

參考鏈接

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40664

漏洞播報(bào)