漏洞预警| Apache Shiro 身份认证绕过漏洞

发布于:2022-11-28 ⋅ 阅读:(304) ⋅ 点赞:(0)

棱镜七彩安全预警

近日网上有关于开源项目Apache Shiro 身份认证绕过漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Apache Shiro是 Apache 基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。

项目主页

Apache Shiro | Simple. Java. Security.

代码托管地址

GitHub - apache/shiro: Apache Shiro

CVE编号

CVE-2022-40664

漏洞情况

Apache Shiro是 Apache 基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。

1.10.0版本之前的 Apache Shiro,当通过 RequestDispatcher 进行转发或包含时存在身份验证绕过漏洞。

受影响的版本

org.apache.shiro:shiro-web@[1.0.0-incubating, 1.10.0)

修复方案

升级org.apache.shiro:shiro-web到 1.10.0 或更高版本

链接地址:

https://nvd.nist.gov/vuln/detail/CVE-2022-40664icon-default.png?t=M85Bhttps://nvd.nist.gov/vuln/detail/CVE-2022-40664

Allow for direct configuration of ShiroFilter through WebEnvironment · apache/shiro@28e10e0 · GitHubApache Shiro. Contribute to apache/shiro development by creating an account on GitHub.https://github.com/apache/shiro/commit/28e10e0ca1cdcd2cede86802fde8464b29265fc8

 

本文含有隐藏内容,请 开通VIP 后查看

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布