【漏洞预警】Apache Shiro认证绕过漏洞

2022-06-30 10,512



1. 通告信息


近日,安识科技A-Team团队监测到一则 Apache Shiro 组件存在认证绕过漏洞的信息,漏洞编号:CVE-2022-32532,漏洞威胁等级:高危。该漏洞是由于 RegexRequestMatcher 不正当配置存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过 Shiro 的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。


2. 漏洞概述


CVECVE-2022-32532
简述:Apache Shiro 是一个可以提供身份验证、授权、密码学和会话管理等功能的开源安全框架。Shiro 框架不仅直观、易用,同时也能提供强大的安全性。
使用 Shiro 可以轻松地、快速地保护任何应用程序,从小型的移动应用程序到大型的 Web 和企业应用程序。其内置了可以连接大量安全数据源(又名目录)的 Realm,如 LDAP、关系数据库( JDBC )、类似INI 的文本配置资源以及属性文件等。
该漏洞是由于 RegexRequestMatcher 不正当配置存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过 Shiro 的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。


3. 漏洞危害


攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过 Shiro 的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。


4. 影响版本


目前受影响的 Apache Shiro 版本:
Apache Shiro < 1.9.1


5. 解决方案


当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://shiro.apache.org/download.html


6. 时间轴


-202206月29日 安识科技A-Team团队监测到Apache Shiro 官方发布安全补丁
-2021年06月29日 安识科技A-Team团队根据漏洞信息分析
-2021年06月30日 安识科技A-Team团队发布安全通告

本文作者:安识科技

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/182161.html

Tags:
评论  (0)
快来写下你的想法吧!

安识科技

文章数:190 积分: 135

安识科技:专业的企业安全解决方案提供商。官网:https://www.duoyinsu.com/

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号