芒竹云公告 > 公告详情

【安全通告】Apache Shiro 身份认证绕过漏洞风险通告(CVE-2022-32532)

发布时间:2022-06-30 20:55:39
尊敬的芒竹云用户,您好!
芒竹云安全运营中心监测到, Apache官方发布安全通告,披露了Apache Shiro存在身份认证绕过漏洞,漏洞编号CVE-2022-32532。可导致攻击者绕过身份认证等危害。
为避免您的业务受影响,芒竹云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。
当使用RegexRequestMatcher进行权限配置时,如果在 RegExPatternMatcher 正则表达式中使用带有 `.` 的表达式进行匹配时,可能会导致身份权限绕过。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致绕过身份认证等危害
影响版本
Apache Shiro < 1.9.1
安全版本
Apache Shiro >= 1.9.1
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考

https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh


/template/Home/qcloud/PC/Static