一、漏洞公告
2022年10月13日,Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532)。
参考链接:
二、影响范围
受影响版本:
Apache Shiro < 1.10.0
叁、漏洞描述
Apache Shiro是一个功能强大且易于使用的Java安全框架,它可以执行身份验证、授权、加密和会话管理,可以用于保护任何应用程序——从命令行应用程序、移动应用程序到最大的web和公司应用程序。
Apache Shiro存在身份验证绕过漏洞,该漏洞是由于当通过RequestDispatcher接口进行请求转发或请求包含时导致的,目前没有详细的漏洞细节提供。。
四、缓解措施
高危。
用户可参考如下供应商提供的安全公告获得补丁信息:丑迟迟辫蝉://蝉丑颈谤辞.补辫补肠丑别.辞谤驳/诲辞飞苍濒辞补诲.丑迟尘濒
