Apache Shiro 身份驗證繞過漏洞預(yù)警 （CVE-2023-34478）

2023-07-26

一、概要

近日，華為云關(guān)注到Apache Shiro官方發(fā)布安全公告，披露Apache Shiro在小于1.12.0和2.0.0-alpha-3的版本中可能會受到路徑遍歷攻擊，當(dāng)與基于非規(guī)范化請求路由請求的API或其他web框架一起使用時，攻擊者通過構(gòu)造特殊的HTTP請求可能會導(dǎo)致身份驗證繞過。

Apache Shiro是一個強(qiáng)大且易用的Java安全框架，能夠用于身份驗證、授權(quán)、加密和會話管理。華為云提醒使用Apache Shiro的用戶及時安排自檢并做好安全加固。

參考鏈接：

http://www.openwall.com/lists/oss-security/2023/07/24/4

https://lists.apache.org/thread/jowcs5nd4tz5fxwl1mqkqnvyrwwx59qo

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Apache Shiro < 1.12.0

Apache Shiro < 2.0.0-alpha-3

安全版本：

Apache Shiro >= 1.12.0

Apache Shiro >= 2.0.0-alpha-3

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

https://github.com/apache/shiro/tags

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。