大工网安告[2022]039
一、情况分析
近日发现关于Shiro身份认证绕过漏洞的风险提示,漏洞编号CVE-2022-40664,建议对Shiro版本进行升级避免遭受攻击。
1.1漏洞描述
Apache Shiro是一款Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能,可用于保护应用程序的安全。
在Apache Shiro中,使用RegexRequestMatcher进行转发或者包含时存在身份认证绕过漏洞。攻击者利用此漏洞可以绕过身份认证流程,从而进一步进行攻击。
1.2漏洞等级
高危
二、影响范围
Apache Shiro < 1.10.0
三、修复建议
解决方案:目前Apache官方已发布此漏洞修复版本,建议用户尽快升级至Apache Shiro 1.10.1及以上安全版本。
https://shiro.apache.org/download.html