Apache Shiro 身份認證繞過漏洞(CVE-2022-32532)安全風險通告

近日，奇安信CERT監測到Apache Shiro身份認證繞過漏洞(CVE-2022-32532)技術細節及PoC在互聯網上公開，當Apache Shiro中使用RegexRequestMatcher進行權限配置，且正則表達式中攜帶"."時，未經授權的遠程攻擊者可通過構造惡意數據包繞過身份認證，導致配置的權限驗證失效。鑒于此漏洞影響范圍較大，建議客戶盡快做好自查及防護。

目前，奇安信CERT已成功復現Apache Shiro 身份認證繞過漏洞(CVE-2022-32532)，截圖如下：

威脅評估

處置建議

目前Apache官方已發布此漏洞修復版本，建議用戶盡快升級至Apache Shiro 1.9.1及以上版本。

https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1

產品解決方案

奇安信網站應用安全云防護系統已更新防護特征庫

• 奇安信網神網站應用安全云防護系統已全面支持對Apache Shiro 身份認證繞過漏洞（CVE-2022-32532）的防護。

奇安信開源衛士已更新

• 奇安信開源衛士20220629. 1114版本已支持對Apache Shiro身份認證繞過漏洞（CVE-2022-32532）的檢測。

參考資料

[1]https://seclists.org/oss-sec/2022/q2/215

[2]https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh

時間線

2022年6月29日，奇安信 CERT發布安全風險通告