Apache Shiro身份认证绕过漏洞 CVE-2023-22602
- CNNVD编号:未知
- 危害等级: 未知
- CVE编号:CVE-2023-22602
- 漏洞类型: 认证绕过
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2023-01-18
- 更新时间:2023-01-18
漏洞简介
2023年1月17日,深信服安全团队监测到一则Apache Shiro组件存在身份认证绕过漏洞的信息,漏洞编号:CVE-2023-22602,漏洞威胁等级:中危。
当Apache Shiro版本小于1.11.0且Spring Boot版本大于2.6时,一个特制的HTTP请求可能会导致绕过身份验证。该漏洞是由于Apache Shiro和Spring Boot使用不同的模式匹配技术导致,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过Apache Shiro的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。
漏洞公示
暂无
参考网站
https://shiro.apache.org/blog/2023/01/13/apache-shiro-1110-released.html
受影响实体
目前受影响的Apache Shiro版本:
Apache Shiro < 1.11.0
补丁
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://shiro.apache.org/download.html
