首页 > 安全公告 > 正文

关于Apache Shiro CVE-2022-40664 身份认证绕过漏洞的安全公告

来源:时间:2022-10-17点击数:

大工网安告[2022]039

一、情况分析

近日发现关于Shiro身份认证绕过漏洞的风险提示,漏洞编号CVE-2022-40664,建议对Shiro版本进行升级避免遭受攻击。

1.1漏洞描述

Apache Shiro是一款Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能,可用于保护应用程序的安全。

在Apache Shiro中,使用RegexRequestMatcher进行转发或者包含时存在身份认证绕过漏洞。攻击者利用此漏洞可以绕过身份认证流程,从而进一步进行攻击。

1.2漏洞等级

高危

二、影响范围

Apache Shiro < 1.10.0

三、修复建议

解决方案:目前Apache官方已发布此漏洞修复版本,建议用户尽快升级至Apache Shiro 1.10.1及以上安全版本。

https://shiro.apache.org/download.html


地址:大连市甘井子区凌工路2号,大连理工大学 邮编:116024

电话:0411-84708645 copyright2013 大连理工大学网络与信息化中心