【漏洞预警】Apache Shiro认证绕过漏洞
1. 通告信息
近日,安识科技A-Team团队监测到一则 Apache Shiro 组件存在认证绕过漏洞的信息,漏洞编号:CVE-2022-32532,漏洞威胁等级:高危。该漏洞是由于 RegexRequestMatcher 不正当配置存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过 Shiro 的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。
2. 漏洞概述
CVE:CVE-2022-32532
简述:Apache Shiro 是一个可以提供身份验证、授权、密码学和会话管理等功能的开源安全框架。Shiro 框架不仅直观、易用,同时也能提供强大的安全性。
使用 Shiro 可以轻松地、快速地保护任何应用程序,从小型的移动应用程序到大型的 Web 和企业应用程序。其内置了可以连接大量安全数据源(又名目录)的 Realm,如 LDAP、关系数据库( JDBC )、类似INI 的文本配置资源以及属性文件等。
该漏洞是由于 RegexRequestMatcher 不正当配置存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过 Shiro 的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。
3. 漏洞危害
攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过 Shiro 的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。
4. 影响版本
目前受影响的 Apache Shiro 版本:
Apache Shiro < 1.9.1
5. 解决方案
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://shiro.apache.org/download.html
6. 时间轴
【-】2022年06月29日 安识科技A-Team团队监测到Apache Shiro 官方发布安全补丁
【-】2021年06月29日 安识科技A-Team团队根据漏洞信息分析
【-】2021年06月30日 安识科技A-Team团队发布安全通告
