欢迎user
Apache Shiro是一个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。近日,新华三攻防实验室威胁预警团队监测到Apache官方发布了安全公告,修复了Shiro中的一个身份验证绕过漏洞(CVE-2022-40664)。新华三攻防实验室建议用户更新Apache Shiro到最新的安全版本避免遭受攻击。
该漏洞是由于Apache Shiro中的RegexRequestMatcher在进行转发或包含时存在身份验证绕过漏洞,恶意攻击者可利用此漏洞绕过身份校验流程,从而实施进一步攻击。
Apache Shiro < 1.10.0
高危
· 使用白名单限制web端口的访问
目前官方已修复该漏洞,受影响用户可以升级更新到Apache Shiro 1.10.1 或更高版本,官方链接:https://shiro.apache.org/download.html
https://shiro.apache.org