近日,监 测 到Apache Shiro存在身 份 验 证 绕 过 漏 洞(CVE-2023-22602)。该漏洞是由于当1.11.0及之前版本的Apache Shiro和2.6及之后版本的Spring Boot使用不同的路径匹配模式时,攻击者可以通过构造特制的HTTP请求可实现身份验证绕过。此漏洞影响范围广泛,建议受影响的用户尽快采取安全措施。
参考链接:https://shiro.apache.org/blog/2023/01/13/apache-shiro-1110released.html
【影响范围】
受影响版本:
Apache Shiro < 1.11
安全版本:
Apache Shiro 1.11.0 或更高版本
【漏洞描述】
Apache Shiro是一个强大且易用的Java安全框架,可执行身份验证、授权、密码和会话管理。Apache Shiro身份验证绕过漏洞(CVE-2023-22602):该漏洞是由于1.11.0及之前版本的Apache Shiro只兼容Spring的ant-style路径匹配模(patternmatching),且2.6及之后版本的Spring Boot将Spring MVC处理请求的路径匹配模式从AntPathMatcher更改为了PathPatternParser。当1.11.0及之前版本的Apache Shiro和2.6及之后版本的Spring Boot使用不同的路径匹配模式时,攻击者可以通过构造特制的HTTP请求可实现身份验证绕过。
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
否 | 未公开 | 未公开 | 未发现 |
【缓解措施】
高危:目前漏洞细节和测试代码暂未公开,但是恶意攻击者可以通过补丁对比方式分析出漏洞触发点,建议受影响用户及时更新至安全版本。
官方建议:目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:https://shiro.apache.org/download.html
临时缓解措施:可通过修改Spring boot的路径匹配模式为AntPathMatcher来缓解此漏洞:spring.mvc.pathmatch.matching-strategy = ant_path_mache