組件介紹
Apache Shiro是一個(gè)可以提供身份驗(yàn)證、授權(quán)、密碼學(xué)和會(huì)話管理等功能的開源安全框架。Shiro框架不僅直觀、易用,同時(shí)也能提供健壯的安全性。
使用Shiro可以輕松地、快速地保護(hù)任何應(yīng)用程序,從小型的移動(dòng)應(yīng)用程序到大型的Web和企業(yè)應(yīng)用程序。其內(nèi)置了可以連接大量安全數(shù)據(jù)源(又名目錄)的Realm,如LDAP、關(guān)系數(shù)據(jù)庫(JDBC)、類似INI的文本配置資源以及屬性文件等。
漏洞描述
監(jiān)測(cè)到一則Apache Shiro組件存在認(rèn)證繞過漏洞的信息,漏洞編號(hào):CVE-2022-32532,漏洞威脅等級(jí):高危。
該漏洞是由于RegexRequestMatcher不正當(dāng)配置存在安全問題,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)繞過Shiro的權(quán)限配置機(jī)制,最終可繞過用戶身份認(rèn)證,導(dǎo)致權(quán)限校驗(yàn)失敗。
影響范圍
Apache Shiro是一個(gè)功能強(qiáng)大且易于使用的Java安全框架,功能包括身份驗(yàn)證、授權(quán)、加密和會(huì)話管理??赡苁苈┒从绊懙馁Y產(chǎn)分布于世界各地,主要分布在中國(guó)、美國(guó)、日本等國(guó)家,國(guó)內(nèi)主要集中在廣東、北京、上海等地。
Apache Shiro < 1.9.1