【漏洞预警】Apache Shiro 身份认证绕过漏洞(CVE-2023-34478)

漏洞描述:

Apache Shiro是一个强大且易用的Java安全框架，它具有身份验证、访问授权、数据加密、会话管理等功能。

2023年7月24日，Apache Shiro发布更新版本，修复了一个身份验证绕过漏洞

漏洞编号：CVE-2023-34478

漏洞危害等级：高危
Apache Shiro版本1.12.0之前和2.0.0-alpha-3 之前容易受到路径遍历攻击，当与基于非规范化请求路由请求的API或其他web框架一起使用时，可能导致身份验证绕过。

影响版本:

Apache Shiro<1.12.0

2.0.0<=Apache Shiro<2.0.0-alpha-3

修复建议:

正式防护方案：

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。
漏洞修复版本：
Apache Shiro >= 1.12.0
Apache Shiro >= 2.0.0-alpha-3

下载链接：
https://github.com/apache/shiro/tags

临时防护方案：
如果目前无法升级，若业务环境允许，使用白名单限制web端口的访问来降低风险。
与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Apache Shiro 身份认证绕过漏洞(CVE-2023-34478)