0757-86231086

新闻详情

Apache Shiro认证绕过漏洞CVE-2022-32532
发布时间:2022-07-15

组件介绍

Apache Shiro是一个可以提供身份验证、授权、密码学和会话管理等功能的开源安全框架。Shiro框架不仅直观、易用,同时也能提供健壮的安全性。
使用Shiro可以轻松地、快速地保护任何应用程序,从小型的移动应用程序到大型的Web和企业应用程序。其内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。

漏洞描述

监测到一则Apache Shiro组件存在认证绕过漏洞的信息,漏洞编号:CVE-2022-32532,漏洞威胁等级:高危。

该漏洞是由于RegexRequestMatcher不正当配置存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过Shiro的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。

影响范围

Apache Shiro是一个功能强大且易于使用的Java安全框架,功能包括身份验证、授权、加密和会话管理。可能受漏洞影响的资产分布于世界各地,主要分布在中国、美国、日本等国家,国内主要集中在广东、北京、上海等地。

目前受影响的Apache Shiro版本:

Apache Shiro < 1.9.1