漏洞说明:
Apache Shiro官方与6月28日修复了一个身份认证绕过漏洞CVE-2022-32532,漏洞内容为当在Apache Shiro中使用RegexRequestMatcher进行权限配置并且配置的正则表达式中存在”.”时,可以通过构造恶意数据包的方式绕过身份验证,导致权限控制失效。
官方描述
Description:
Apache Shiro before 1.9.1, A RegexRequestMatcher can be misconfigured
to be bypassed on some servlet containers. Applications using
RegExPatternMatcher with `.` in the regular expression are possibly
vulnerable to an authorization bypass.
漏洞修复版本
Apache Shiro < 1.9.1
修复方案:
目前Apache官方已发布此漏洞修复版本,建议用户尽快升级至Apache Shiro 1.9.1及以上版本。
http://github.com/apache/shiro/releases/tag/shiro-root-1.9.1
将Apache Shiro版本升级到1.9.1及以上
检测方式:
1、查看自己项目的pom文件中shiro-core的version是否在1.9.1以下
2、登录服务器,执行
find /项目安装目录 -name *shiro-core*.jar
查看反显的shiro版本