• 设为首页
  • |
  • 加入收藏
  • |
  • 联系我们

网络安全预警通报-第22期(2022.11.14)--Apache Shiro身份验证绕过漏洞

时间:2022-11-07 点击数:

漏洞编号:CVE-2022-40664

一.漏洞详情

Apache Shiro是一个强大且易用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能。

10月12日,Apache发布安全公告,修复了Apache Shiro中的一个身份验证绕过漏洞(CVE-2022-40664)。在Apache Shiro 1.10.0之前,当通过RequestDispatcher接口进行请求转发或请求包含时存在身份验证绕过漏洞。

二.漏洞影响范围

Apache Shiro版本< 1.10.0

三.漏洞处置建议

目前该漏洞已经修复,受影响用户可以升级到Apache Shiro 1.10.0或更高版本。

下载链接:

https://shiro.apache.org/download.html

参考链接:

    https://lists.apache.org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg

    https://shiro.apache.org/documentation.html