一、漏洞介绍

Apache Shiro官方发布安全公告，披露在Apache Shiro < 1.10.0版本中，当通过RequestDispatcher转发或包含时存在身份验证绕过漏洞（CVE-2022-40664），攻击者可以通过发送特制的HTTP请求获取对应用程序的未经授权的访问。

请使用Apache Shiro的用户及时安排自检并做好安全加固。

参考链接：

https://shiro#apache#org/security-reports.html#cve_2022_40664

https://lists#apache#org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache Shiro < 1.10.0

安全版本：

Apache Shiro 1.10.0

四、漏洞处置

目前，官方已发布最新的1.10.0版本修复了该漏洞，请受影响的用户升级至安全版本：

https://github#com/apache/shiro/tags

若无法及时升级，可通过白名单限制web端口的访问来进行临时规避（实施前请评估对业务的影响）。

文献来源：华为云

分享到：