一、 漏洞公告
Apache Shiro是一个强大且易用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能。
近日,Apache发布安全公告,修复了Apache Shiro中的一个身份验证绕过漏洞(CVE-2022-40664),CVSS 评分 9.8。该漏洞是通过 RequestDispatcher 转发或包含时 Shiro 中的身份验证绕过漏洞。此漏洞影响范围广泛,建议受影响的用户尽快采取安全措施。
二、影响范围
受影响版本:Apache Shiro < 1.10.0
三、缓解措施
高危:目前漏洞细节和测试代码暂未公开,但是恶意攻击者可以通过补丁对比方式分析出漏洞触发点,建议受影响用户及时更新至安全版本。
官方建议:
1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
2、下载链接:https://shiro.apache.org/download.html
四、参考链接
https://nvd.nist.gov/vuln/detail/CVE-2022-40664
https://lists.apache.org/thread/ynx4mx9phc61ctr80lbwp1rsg2lmn6k4