【漏洞公告】
近日,监测到Apache Shiro身份验证绕过漏洞(CVE-2022-40664),CVSS评分9.8。该漏洞是通过RequestDispatcher转发或包含时Shiro中的身份验证绕过漏洞。此漏洞影响范围广泛,建议受影响的用户尽快采取安全措施。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2022-40664
https://lists.apache.org/thread/ynx4mx9phc61ctr80lbwp1rsg2lmn6k4
【影响范围】
受影响版本:
Apache Shiro < 1.10.0
安全版本:
Apache Shiro 1.10.0或更高版本
【漏洞描述】
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
Apache Shiro身份验证绕过漏洞(CVE-2022-40664):该漏洞是通过RequestDispatcher转发或包含时Shiro中的身份验证绕过漏洞。在Apache Shiro 1.10.0之前,攻击者可构造恶意代码利用该漏洞绕过shiro的身份验证,从而获取用户的身份权限。
当前漏洞状态
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
否 | 未公开 | 未公开 | 未知 |
【缓解措施】
高危:目前漏洞利用代码暂未公开,但是恶意攻击者可以通过补丁对比方式分析出漏洞出发点,建议受影响用户及时更新至安全版本。
官方建议:
1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:
https://shiro.apache.org/download.html