服务公告

全部公告 > 安全公告 > Apache Shiro 身份验证绕过漏洞预警 (CVE-2023-34478)

Apache Shiro 身份验证绕过漏洞预警 (CVE-2023-34478)

2023-07-26

一、概要

近日,华为云关注到Apache Shiro官方发布安全公告,披露Apache Shiro在小于1.12.0和2.0.0-alpha-3的版本中可能会受到路径遍历攻击,当与基于非规范化请求路由请求的API或其他web框架一起使用时,攻击者通过构造特殊的HTTP请求可能会导致身份验证绕过。

Apache Shiro是一个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。华为云提醒使用Apache Shiro的用户及时安排自检并做好安全加固。

参考链接:

http://www.openwall.com/lists/oss-security/2023/07/24/4

https://lists.apache.org/thread/jowcs5nd4tz5fxwl1mqkqnvyrwwx59qo

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急) 

三、漏洞影响范围

影响版本:

Apache Shiro < 1.12.0

Apache Shiro < 2.0.0-alpha-3

安全版本:

Apache Shiro >= 1.12.0

Apache Shiro >= 2.0.0-alpha-3

四、漏洞处置

目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:

https://github.com/apache/shiro/tags

注:修复漏洞前请将资料备份,并进行充分测试。