Apache Shiro 身份认证绕过漏洞CVE-2022-32532

漏洞说明：

Apache Shiro官方与6月28日修复了一个身份认证绕过漏洞CVE-2022-32532，漏洞内容为当在Apache Shiro中使用RegexRequestMatcher进行权限配置并且配置的正则表达式中存在”.”时，可以通过构造恶意数据包的方式绕过身份验证，导致权限控制失效。

官方描述

Description:

Apache Shiro before 1.9.1, A RegexRequestMatcher can be misconfigured
to be bypassed on some servlet containers. Applications using
RegExPatternMatcher with `.` in the regular expression are possibly
vulnerable to an authorization bypass.

漏洞修复版本

Apache Shiro < 1.9.1

修复方案：

目前Apache官方已发布此漏洞修复版本，建议用户尽快升级至Apache Shiro 1.9.1及以上版本。
http://github.com/apache/shiro/releases/tag/shiro-root-1.9.1
将Apache Shiro版本升级到1.9.1及以上

---

检测方式：

1、查看自己项目的pom文件中shiro-core的version是否在1.9.1以下
2、登录服务器,执行

find /项目安装目录 -name *shiro-core*.jar

查看反显的shiro版本