【漏洞报送】Apache Shiro存在身份认证缺陷漏洞(CVE-2022-32532)

admin 2022年6月29日16:09:02安全漏洞【漏洞报送】Apache Shiro存在身份认证缺陷漏洞(CVE-2022-32532)已关闭评论100 views413字阅读1分22秒阅读模式
图片


0x01 Apache Shiro

Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。

图片


0x02 漏洞概述

近日,Apache发布安全公告,修复了一个存在于Apache Shiro中的身份验证绕过漏洞。

  • 该漏洞是由于RegexRequestMatcher配置错误而存在的。远程攻击者可以绕过身份验证过程,对应用程序进行未经授权的访问。应用程序使用正则表达式中带有 `.` 的 RegExPatternMatcher可能容易受到漏洞的影响  。


 影响版本范围:

  • Apache Shiro - Apache<1.9.1


0x03 漏洞信息

漏洞编号:CVE-2022-32532

漏洞POC:未知

漏洞EXP:未知

漏洞细节:未知

危害等级:中危

漏洞类型:身份认证缺陷

0x04 修复方案

官方修复方案:

目前该漏洞已经修复,建议受影响的用户及时升级更新到以下版本:

Apache Shiro :1.9.1


图片

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月29日16:09:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞报送】Apache Shiro存在身份认证缺陷漏洞(CVE-2022-32532) https://cn-sec.com/archives/1148772.html