关于Apache Shiro身份认证绕过漏洞(CVE-2022-32532)的安全告知

时间:2022-06-30 16:45:51来源:信息安全服务部作者:梦之想科技

Apache Shiro 是一个可以提供身份验证、授权、密码学和会话管理等功能的开源安全框架。Shiro 框架不仅直观、易用,同时也能提供强大的安全性。

漏洞详情

近日,Apache 发布安全公告,修复了一个存在于 Apache Shiro 中的身份验证绕过漏洞。当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带 "." 时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。

漏洞复现
shiro.png

影响范围

Apache Shiro < 1.9.1

排查方法

1、检查shiro版本是否小于1.9.1

2、检测是否配置/permit/{value}、/permit/*这样从路径取参数的路由

3、检查shiro中是否使用RegexRequestMatcher,并且在正则表达式中是否使用”.”匹配,例如:permit/.*

修复建议

官方已发布安全版本,请及时下载更新,下载地址:

https://shiro.apache.org/download.html

参考链接

https://seclists.org/oss-sec/2022/q2/215