天天视频一区二区三区,91精品人妻一区二区三区蜜桃,日韩精品无码一区二区三区不卡,久久久国产一区二区三区

0757-86231086

新聞詳情

Apache Shiro認(rèn)證繞過(guò)漏洞CVE-2022-32532
發(fā)布時(shí)間:2022-07-15

組件介紹

Apache Shiro是一個(gè)可以提供身份驗(yàn)證、授權(quán)、密碼學(xué)和會(huì)話管理等功能的開源安全框架。Shiro框架不僅直觀、易用,同時(shí)也能提供健壯的安全性。
使用Shiro可以輕松地、快速地保護(hù)任何應(yīng)用程序,從小型的移動(dòng)應(yīng)用程序到大型的Web和企業(yè)應(yīng)用程序。其內(nèi)置了可以連接大量安全數(shù)據(jù)源(又名目錄)的Realm,如LDAP、關(guān)系數(shù)據(jù)庫(kù)(JDBC)、類似INI的文本配置資源以及屬性文件等。

漏洞描述

監(jiān)測(cè)到一則Apache Shiro組件存在認(rèn)證繞過(guò)漏洞的信息,漏洞編號(hào):CVE-2022-32532,漏洞威脅等級(jí):高危。

該漏洞是由于RegexRequestMatcher不正當(dāng)配置存在安全問(wèn)題,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)繞過(guò)Shiro的權(quán)限配置機(jī)制,最終可繞過(guò)用戶身份認(rèn)證,導(dǎo)致權(quán)限校驗(yàn)失敗。

影響范圍

Apache Shiro是一個(gè)功能強(qiáng)大且易于使用的Java安全框架,功能包括身份驗(yàn)證、授權(quán)、加密和會(huì)話管理??赡苁苈┒从绊懙馁Y產(chǎn)分布于世界各地,主要分布在中國(guó)、美國(guó)、日本等國(guó)家,國(guó)內(nèi)主要集中在廣東、北京、上海等地。

目前受影響的Apache Shiro版本:

Apache Shiro < 1.9.1