大工网安告[2022]026号

一、情况分析

近期Apache官方发布安全公告，披露了一个Apache Shiro的身份认证绕过漏洞，Apache官方建议用户尽快将Apache Shiro更新至安全版本。

在使用Apache Shiro中RegExPatternMatcher进行权限配置的情况下，并且用来匹配信息的正则表达式中携带"."时，攻击者可以利用此漏洞在未授权的情况下通过向服务器发送恶意数据包进行身份认证绕过。漏洞编号CVE-2022-32532（高危）

二、影响范围

Apache Shiro < 1.9.1

二、处置建议

目前Apache官方已发布此漏洞修复版本，建议用户尽快升级至Apache Shiro 1.9.1及以上安全版本，安全版本下载链接如下:

https://github.com/apache/shiro/releases/tag/shiro-root-1.9