| 【漏洞预警】Apache Shiro身份验证绕过漏洞风险提示 |
|
|
【漏洞公告】 近日,监测到Apache Shiro身份验证绕过漏洞(CVE-2022-40664),CVSS评分9.8。该漏洞是通过RequestDispatcher转发或包含时Shiro中的身份验证绕过漏洞。此漏洞影响范围广泛,建议受影响的用户尽快采取安全措施。 参考链接: https://nvd.nist.gov/vuln/detail/CVE-2022-40664 https://lists.apache.org/thread/ynx4mx9phc61ctr80lbwp1rsg2lmn6k4
【影响范围】 受影响版本: Apache Shiro < 1.10.0 安全版本: Apache Shiro 1.10.0或更高版本
【漏洞描述】 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 Apache Shiro身份验证绕过漏洞(CVE-2022-40664):该漏洞是通过RequestDispatcher转发或包含时Shiro中的身份验证绕过漏洞。在Apache Shiro 1.10.0之前,攻击者可构造恶意代码利用该漏洞绕过shiro的身份验证,从而获取用户的身份权限。 当前漏洞状态
【缓解措施】 高危:目前漏洞利用代码暂未公开,但是恶意攻击者可以通过补丁对比方式分析出漏洞出发点,建议受影响用户及时更新至安全版本。 官方建议: 1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。 下载链接: https://shiro.apache.org/download.html
|
||||||||
 |
|
Copyright © 2014 East China University Science and Technology. All rights reserved 版权所有 © 2014 华东理工大学信息化办公室 |