公开日期

2022-06-30

危害级别

高

影响产品

Apache Shiro <1.9.1

漏洞描述

Apache Shiro是美国阿帕奇（Apache）基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 Apache Shiro存在身份认证绕过漏洞，该漏洞是由于当Apache Shiro中使用 RegexRequestMatcher方式进行权限配置，且正则表达式中携带"."时，未经授权的远程攻击者可利用漏洞通过构造恶意数据包绕过身份认证，导致配置的权限验证失效。

漏洞解决方案

升级至 1.9.1版本

参考

https://www.cnvd.org.cn/flaw/show/CNVD-2022-48384

 https://shiro.apache.org/blog/2022/06/28/apache-shiro-191-released.html