0x01 Apache Shiro
Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。
0x02 漏洞概述
近日,Apache发布安全公告,修复了一个存在于Apache Shiro中的身份验证绕过漏洞。
-
该漏洞是由于RegexRequestMatcher配置错误而存在的。远程攻击者可以绕过身份验证过程,对应用程序进行未经授权的访问。应用程序使用正则表达式中带有 `.` 的 RegExPatternMatcher可能容易受到漏洞的影响 。
影响版本范围:
-
Apache Shiro - Apache<1.9.1
0x03 漏洞信息
漏洞编号:CVE-2022-32532
漏洞POC:未知
漏洞EXP:未知
漏洞细节:未知
危害等级:中危
漏洞类型:身份认证缺陷
0x04 修复方案
官方修复方案:
目前该漏洞已经修复,建议受影响的用户及时升级更新到以下版本:
Apache Shiro :1.9.1
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论