Apache Shiro认证绕过漏洞CVE-2022-32532
- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:CVE-2022-32532
- 漏洞类型: 认证绕过
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2023-03-20
- 更新时间:2023-03-20
漏洞简介
2022年6月29日,深信服安全团队监测到一则 Apache Shiro 组件存在认证绕过漏洞的信息,漏洞编号:CVE-2022-32532,漏洞威胁等级:高危。
该漏洞是由于 RegexRequestMatcher 不正当配置存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过 Shiro 的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。
漏洞公示
暂无
参考网站
https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh
受影响实体
Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,功能包括身份验证、授权、加密和会话管理。可能受漏洞影响的资产分布于世界各地,主要分布在中国、美国、日本等国家,国内主要集中在广东、北京、上海等地。
目前受影响的 Apache Shiro 版本:
Apache Shiro < 1.9.1
补丁
解决方案
1.如何检测组件系统版本
方案一
全盘搜索 shiro,如果存在 shiro-core-{version}.jar,则用户可能受漏洞影响。
方案二
如果项目是由 maven 编译的(一般在项目根目录下会有 pom.xml)
在此文件中搜索 shiro-core,如果可以搜索到关键字,并且 <version> 标签内部的字段在 1.9.0 版本及其以下,则可能受到漏洞的影响。(图中 的shiro-core的版本是 1.9.0,在漏洞影响范围内)。 如以上检索均未发现结果,不能够完全下结论一定没有使用 Apache Shiro 组件。
如以上检索均未发现结果,不能够完全下结论一定没有使用 Apache Shiro 组件。
2.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://shiro.apache.org/download.html
3.深信服解决方案
3.1 主动检测
支持对 Apache Shiro 认证绕过漏洞的主动检测,可批量快速检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服安全云眼CloudEye】预计2022年7月1日发布检测方案。
【深信服云镜YJ】预计2022年7月1日发布检测方案。
【深信服漏洞评估工具TSS】预计2022年7月1日发布检测方案。
【深信服安全托管服务MSS】预计2022年7月1日发布检测方案。
