【漏洞預警】Apache Shiro認證繞過漏洞
1. 通告信息
近日,安識科技A-Team團隊監測到一則 Apache Shiro 組件存在認證繞過漏洞的信息,漏洞編號:CVE-2022-32532,漏洞威脅等級:高危。該漏洞是由于 RegexRequestMatcher 不正當配置存在安全問題,攻擊者可利用該漏洞在未授權的情況下,構造惡意數據繞過 Shiro 的權限配置機制,最終可繞過用戶身份認證,導致權限校驗失敗。
對此,安識科技建議廣大用戶及時升級到安全版本,并做好資產自查以及預防工作,以免遭受黑客攻擊。
2. 漏洞概述
CVE:CVE-2022-32532
簡述:Apache Shiro 是一個可以提供身份驗證、授權、密碼學和會話管理等功能的開源安全框架。Shiro 框架不僅直觀、易用,同時也能提供強大的安全性。
使用 Shiro 可以輕松地、快速地保護任何應用程序,從小型的移動應用程序到大型的 Web 和企業應用程序。其內置了可以連接大量安全數據源(又名目錄)的 Realm,如 LDAP、關系數據庫( JDBC )、類似INI 的文本配置資源以及屬性文件等。
該漏洞是由于 RegexRequestMatcher 不正當配置存在安全問題,攻擊者可利用該漏洞在未授權的情況下,構造惡意數據繞過 Shiro 的權限配置機制,最終可繞過用戶身份認證,導致權限校驗失敗。
3. 漏洞危害
攻擊者可利用該漏洞在未授權的情況下,構造惡意數據繞過 Shiro 的權限配置機制,最終可繞過用戶身份認證,導致權限校驗失敗。
4. 影響版本
目前受影響的 Apache Shiro 版本:
Apache Shiro < 1.9.1
5. 解決方案
當前官方已發布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:
https://shiro.apache.org/download.html
6. 時間軸
【-】2022年06月29日 安識科技A-Team團隊監測到Apache Shiro 官方發布安全補丁
【-】2021年06月29日 安識科技A-Team團隊根據漏洞信息分析
【-】2021年06月30日 安識科技A-Team團隊發布安全通告
