服务公告

全部公告 > 安全公告 > Apache Shiro 身份验证绕过漏洞预警（CVE-2023-34478）

Apache Shiro 身份验证绕过漏洞预警（CVE-2023-34478）

一、概要

近日，华为云关注到Apache Shiro官方发布安全公告，披露Apache Shiro在小于1.12.0和2.0.0-alpha-3的版本中可能会受到路径遍历攻击，当与基于非规范化请求路由请求的API或其他web框架一起使用时，攻击者通过构造特殊的HTTP请求可能会导致身份验证绕过。

Apache Shiro是一个强大且易用的Java安全框架，能够用于身份验证、授权、加密和会话管理。华为云提醒使用Apache Shiro的用户及时安排自检并做好安全加固。

参考链接：

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache Shiro < 1.12.0

Apache Shiro < 2.0.0-alpha-3

安全版本：

Apache Shiro >= 1.12.0

Apache Shiro >= 2.0.0-alpha-3

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：