Apache Shiro 是一个可以提供身份验证、授权、密码学和会话管理等功能的开源安全框架。Shiro 框架不仅直观、易用，同时也能提供强大的安全性。

漏洞详情

近日，Apache 发布安全公告，修复了一个存在于 Apache Shiro 中的身份验证绕过漏洞。当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置，且正则表达式中携带 "." 时，未经授权的远程攻击者可通过构造恶意数据包绕过身份认证，导致配置的权限验证失效。

漏洞复现

影响范围

Apache Shiro < 1.9.1

排查方法

1、检查shiro版本是否小于1.9.1

2、检测是否配置/permit/{value}、/permit/*这样从路径取参数的路由

3、检查shiro中是否使用RegexRequestMatcher，并且在正则表达式中是否使用”.”匹配，例如：permit/.*

修复建议

官方已发布安全版本，请及时下载更新，下载地址：

https://shiro.apache.org/download.html

参考链接

https://seclists.org/oss-sec/2022/q2/215