【漏洞公告】

2022年6月29日，Apache官方披露Apache Shiro杈限绕过漏洞（CVE-2022-32532），当Apache Shiro中使用RegexRequestMatcher进行权限配置，旦正则表达式中携带“.”时，未经授权的远程攻击者可通过构造恶意数据包绕过身份认证，导致配置的权限验证失效。目前该漏洞利用细节已公开，官方已在Apache Shiro 1.9.1版本中修复该漏洞，建议受影响的用户及时更新至安全版本。

参考链接：

https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh

【影响范围】

受影响版本：

Apache Shiro < 1.9.1

安全版本：

Apache Shiro = 1.9.1

【漏洞描述】

Apache Shiro是一个功能强大且易于使用的Java安全框架，它可以执行身份验证、授权、加密和会话管理，可以用于保护任何应用程序——从命令行应用程序、移动应用程序到最大的web和企业应用程序。

Apache Shiro存在一个权限绕过漏洞，当Apache Shiro中使用RegexRequestMatcher进行权限配置，且正则表达式中携带”.”时，未经授权的远程攻击者可通过恶意构造数据包绕过身份验证，导致配置的权限验证失效。

【缓解措施】

中危：目前漏洞细节和POC代码已公开，官方已发布相关安全版本，建议部署相关安全产品的用户及时测试并更新。

官方建议：

1、目前官方已在2022年6月29日发布Apache Shiro 1.9.1版本，建议受影响的用户更新至最新安全版本。

下载链接：

https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh