Apache Shiro 身份認(rèn)證繞過漏洞 （CVE-2022-40664）

2022-10-13

一、概要

近日，華為云關(guān)注到Apache Shiro官方發(fā)布安全公告，披露在Apache Shiro < 1.10.0版本中，當(dāng)通過RequestDispatcher 轉(zhuǎn)發(fā)或包含時(shí)存在身份驗(yàn)證繞過漏洞（CVE-2022-40664），攻擊者可以通過發(fā)送特制的HTTP請(qǐng)求獲取對(duì)應(yīng)用程序的未經(jīng)授權(quán)的訪問。

華為云提醒使用Apache Shiro的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://shiro.apache.org/security-reports.html#cve_2022_40664

https://lists.apache.org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Apache Shiro < 1.10.0

安全版本：

Apache Shiro 1.10.0

四、漏洞處置

目前，官方已發(fā)布最新的1.10.0版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)至安全版本：

https://github.com/apache/shiro/tags

若無法及時(shí)升級(jí)，可通過白名單限制web端口的訪問來進(jìn)行臨時(shí)規(guī)避（實(shí)施前請(qǐng)?jiān)u估對(duì)業(yè)務(wù)的影響）。

華為云WAF用戶可在WAF控制臺(tái)配置精準(zhǔn)防護(hù)規(guī)則，對(duì)業(yè)務(wù)管理后臺(tái)入口（如/admin，以實(shí)際管理后臺(tái)入口地址為準(zhǔn)）設(shè)置IP訪問控制，非管理員常用IP對(duì)管理后臺(tái)入口的請(qǐng)求進(jìn)行阻斷。配置指導(dǎo)參見配置精準(zhǔn)訪問防護(hù)規(guī)則。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。