服务公告
Apache Shiro 身份验证绕过漏洞预警 (CVE-2023-34478)
2023-07-26
一、概要
近日,华为云关注到Apache Shiro官方发布安全公告,披露Apache Shiro在小于1.12.0和2.0.0-alpha-3的版本中可能会受到路径遍历攻击,当与基于非规范化请求路由请求的API或其他web框架一起使用时,攻击者通过构造特殊的HTTP请求可能会导致身份验证绕过。
Apache Shiro是一个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。华为云提醒使用Apache Shiro的用户及时安排自检并做好安全加固。
参考链接:
http://www.openwall.com/lists/oss-security/2023/07/24/4
https://lists.apache.org/thread/jowcs5nd4tz5fxwl1mqkqnvyrwwx59qo
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
Apache Shiro < 1.12.0
Apache Shiro < 2.0.0-alpha-3
安全版本:
Apache Shiro >= 1.12.0
Apache Shiro >= 2.0.0-alpha-3
四、漏洞处置
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:
https://github.com/apache/shiro/tags
注:修复漏洞前请将资料备份,并进行充分测试。