一、背景介绍
7月1日,市委网信办技术支撑单位监测到 Apache Shiro发布了一个安全通告,修复了一个安全漏洞(CVE-2022-32532) 。
1.1 漏洞描述
Apache Shiro存在身份认证绕过漏洞,该漏洞是由于当Apache Shiro中使用 RegexRequestMatcher方式进行权限配置,且正则表达式中携带.时,未经授权的远程攻击者可利用漏洞通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。
1.2 漏洞编号
CVE-2022-32532
1.3 漏洞等级
高危
二、修复建议
2.1 受影响版本
Apache Shiro < 1.9.1
2.2 修复建议
目前该漏洞已经修复,建议受影响的用户及时升级更新到以下版本:
Apache Shiro :1.9.1