Apache Shiro是一个功能强大且易于使用的 Java 安全框架,可执行身份验证、授权、加密和会话管理。 借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。

近日,奇安信CERT监测到Apache Shiro身份认证绕过漏洞(CVE-2023-22602),当将 1.11.0版本前的 Apache Shiro 与大于 2.6版本的Spring Boot一起使用,且Shiro 和 Spring Boot 使用不同的路径匹配模式时,攻击者可以通过构造特制的 HTTP 请求可实现身份验证绕过。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

漏洞名称

Apache Shiro身份认证绕过漏洞

公开时间

2023-01-13

更新时间

2023-01-16

CVE编号

CVE-2023-22602

其他编号

QVD-2023-2224

威胁类型

身份认证绕过

技术类型

身份认证错误

厂商

Apache

产品

Shiro

风险等级

奇安信CERT风险评级

风险等级

中危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未发现

未公开

漏洞描述

将 1.11.0版本前的 Apache Shiro 与大于 2.6版本的Spring Boot一起使用,且Shiro 和 Spring Boot使用不同的路径匹配模式时,攻击者通过构造特制的 HTTP 请求可实现身份验证绕过。

影响版本

Apache Shiro < 1.11.0

不受影响版本

Apache Shiro >= 1.11.0

其他受影响组件

威胁评估

漏洞名称

Apache Shiro身份认证绕过漏洞

CVE编号

CVE-2023-22602

其他编号

QVD-2023-2224

CVSS 3.1评级

高危

CVSS 3.1分数

7.0

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

当将 1.11.0版本前的 Apache Shiro 与大于 2.6版本的Spring Boot一起使用,且Shiro 和 Spring Boot使用不同的路径匹配模式时,攻击者可通过构造特制的 HTTP 请求可实现身份验证绕过。

处置建议

版本升级:

目前,官方已有可更新版本,建议受影响用户尽快升级至对应版本。

https://shiro.apache.org/download.html

缓解措施:

修改Spring Boot的配置

spring.mvc.pathmatch.matching-strategy = ant_path_matcher

参考资料

[1]https://shiro.apache.org/download.html

[2]https://shiro.apache.org/blog/2023/01/13/apache-shiro-1110-released.html

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。