欢迎user
新华三盾山实验室
2023/07/25
Apache Shiro是一个功能强大且易于使用的Java安全框架,提供身份验证、授权、加密和会话管理等安全功能,可以帮助开发人员快速构建安全性高且可靠的应用程序。近日,新华三盾山实验室监测到Apache官方发布了安全公告,修复了一个存在于Apache Shiro中的身份验证绕过漏洞(CVE-2023-34478),攻击者利用该漏洞可绕过身份验证。
由于Apache Shiro存在路径遍历漏洞,当与API或其他基于非标准化请求路由请求的Web框架一起使用时,恶意攻击者成功利用此漏洞可绕过身份验证。
Apache Shiro < 1.12.0
Apache Shiro < 2.0.0-alpha-3
威胁等级 | 严重 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.8 |
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://shiro.apache.org/download.html
https://www.openwall.com/lists/oss-security/2023/07/24/4
https://github.com/apache/shiro/commit/c3ede3f94efb442acb0795714a022c2c121d1da0