大工网安告[2023]005

一、情况分析

Apache Shiro是一个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。Shiro可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE环境，也可以用在JavaEE环境。近日，Apace官方发布安全公告，修复了一个存在于Apache Shiro中的身份认证绕过漏洞（CVE-2023-22602）。建议师生更新Windows到最新的安全版本避免遭受攻击利用。

漏洞详情

当在Spring Boot 2.6版本以上的环境中使用Apache Shiro，且Shiro 和 Spring Boot使用不同的路径匹配模式时，恶意攻击者通过构造特制的 HTTP 请求，成功利用此漏洞可实现身份验证绕过。

二、影响范围

Apache Shiro < 1.11.0

三、处置方法

目前官方已修复该漏洞，受影响用户可以升级更新到安全版本。官方下载链接：https://shiro.apache.org/download.html

临时解决措施： 修改SpringBoot的配置：spring.mvc.pathmatch.matching-strategy = ant_path_matcher

参考链接

https://shiro.apache.org/download.html

https://shiro.apache.org/blog/2023/01/13/apache-shiro-1110-released.html