近日，监 测 到Apache Shiro存在身 份 验 证 绕 过 漏 洞（CVE-2023-22602）。该漏洞是由于当1.11.0及之前版本的Apache Shiro和2.6及之后版本的Spring Boot使用不同的路径匹配模式时，攻击者可以通过构造特制的HTTP请求可实现身份验证绕过。此漏洞影响范围广泛，建议受影响的用户尽快采取安全措施。

参考链接：https://shiro.apache.org/blog/2023/01/13/apache-shiro-1110released.html

【影响范围】

受影响版本：

Apache Shiro < 1.11

安全版本：

Apache Shiro 1.11.0 或更高版本

【漏洞描述】

Apache Shiro是一个强大且易用的Java安全框架，可执行身份验证、授权、密码和会话管理。Apache Shiro身份验证绕过漏洞（CVE-2023-22602）：该漏洞是由于1.11.0及之前版本的Apache Shiro只兼容Spring的ant-style路径匹配模（patternmatching），且2.6及之后版本的Spring Boot将Spring MVC处理请求的路径匹配模式从AntPathMatcher更改为了PathPatternParser。当1.11.0及之前版本的Apache Shiro和2.6及之后版本的Spring Boot使用不同的路径匹配模式时，攻击者可以通过构造特制的HTTP请求可实现身份验证绕过。

【缓解措施】

高危：目前漏洞细节和测试代码暂未公开，但是恶意攻击者可以通过补丁对比方式分析出漏洞触发点，建议受影响用户及时更新至安全版本。

官方建议：目前官方已发布安全版本修复上述漏洞，建议受影响的用户升级至安全版本。

下载链接：https://shiro.apache.org/download.html

临时缓解措施：可通过修改Spring boot的路径匹配模式为AntPathMatcher来缓解此漏洞：spring.mvc.pathmatch.matching-strategy = ant_path_mache