​【漏洞预警】Apache Shiro身份验证绕过漏洞风险提示

发布者:李雪娇发布时间:2022-10-19浏览次数:289

【漏洞公告】

近日,监测到Apache Shiro身份验证绕过漏洞(CVE-2022-40664),CVSS评分9.8该漏洞是通过RequestDispatcher转发或包含时Shiro中的身份验证绕过漏洞。此漏洞影响范围广泛,建议受影响的用户尽快采取安全措施。

参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2022-40664

https://lists.apache.org/thread/ynx4mx9phc61ctr80lbwp1rsg2lmn6k4

 

【影响范围】

受影响版本:

Apache Shiro < 1.10.0

安全版本:

Apache Shiro 1.10.0或更高版本

 

【漏洞描述】

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。

Apache Shiro身份验证绕过漏洞(CVE-2022-40664):该漏洞是通过RequestDispatcher转发或包含时Shiro中的身份验证绕过漏洞。在Apache Shiro 1.10.0之前,攻击者可构造恶意代码利用该漏洞绕过shiro的身份验证,从而获取用户的身份权限。

当前漏洞状态

细节是否公开

POC状态

EXP状态

在野利用

未公开

未公开

未知

 

【缓解措施】

高危:目前漏洞利用代码暂未公开,但是恶意攻击者可以通过补丁对比方式分析出漏洞出发点,建议受影响用户及时更新至安全版本。

官方建议:

1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。

下载链接:

https://shiro.apache.org/download.html