上传时间:2022-10-13
一、漏洞介绍
Apache Shiro官方发布安全公告,披露在Apache Shiro < 1.10.0版本中,当通过RequestDispatcher转发或包含时存在身份验证绕过漏洞(CVE-2022-40664),攻击者可以通过发送特制的HTTP请求获取对应用程序的未经授权的访问。
请使用Apache Shiro的用户及时安排自检并做好安全加固。
参考链接:
https://shiro#apache#org/security-reports.html#cve_2022_40664
https://lists#apache#org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
Apache Shiro < 1.10.0
安全版本:
Apache Shiro 1.10.0
四、漏洞处置
目前,官方已发布最新的1.10.0版本修复了该漏洞,请受影响的用户升级至安全版本:
https://github#com/apache/shiro/tags
若无法及时升级,可通过白名单限制web端口的访问来进行临时规避(实施前请评估对业务的影响)。
文献来源:华为云