一、背景介绍
近日,市委网信办技术支撑单位监测到Apache Shiro发布了安全公告,修复了Apache Shiro权限绕过漏洞(CVE-2023-22602)。
1.1 漏洞描述
Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。
Apache Shiro与Spring Boot 2.6+一起使用时,特制的HTTP请求可能导致认证绕过。当Shiro和Spring Boot使用不同的模式匹配技术时,认证绕过就会发生。Shiro和Spring Boot<2.6都默认为 Ant风格的模式匹配。
1.2 漏洞编号
CVE-2023-22602
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Apache Shiro<1.11.0与Spring Boot2.6+一起使用
2.2 修复建议
目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:https://lists.apache.org/thread/dzj0k2smpzzgj6g666hrbrgsrlf9yhkl