一、背景介绍
近日,市委网信办技术支撑单位监测发现Apache Shiro发布新版本,修复了Apache Shiro身份认证绕过漏洞(CVE-2023-34478)。
1.1 漏洞描述
Apache Shiro 是一个强大灵活的 Java 安全框架,提供了认证、授权、会话管理和安全加密等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务、更易于理解的API。
Apache Shiro 中存在身份认证绕过漏洞,当在 API或基于非规范化路由请求的 Web 框架中使用时,攻击者可能利用此漏洞绕过身份验证。
1.2 漏洞编号
CVE-2023-34478
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Apache Shiro < 1.12.0
Apache Shiro < 2.0.0-alpha-3
2.2 修复建议
目前,官方已发布新版本修复该漏洞,建议用户尽快更新。
Apache Shiro >= 1.12.0
Apache Shiro >= 2.0.0-alpha-3
https://shiro.apache.org/download.html