查看原文
其他

Apache Shiro身份认证绕过漏洞(CVE-2023-22602)安全风险通告

QAX CERT 奇安信 CERT 2023-01-20

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



Apache Shiro是一个功能强大且易于使用的 Java 安全框架,可执行身份验证、授权、加密和会话管理。 借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。


近日,奇安信CERT监测到Apache Shiro身份认证绕过漏洞(CVE-2023-22602),当将 1.11.0版本前的 Apache Shiro 与大于 2.6版本的Spring Boot一起使用,且Shiro 和 Spring Boot 使用不同的路径匹配模式时,攻击者可以通过构造特制的 HTTP 请求可实现身份验证绕过。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。


漏洞名称

Apache Shiro身份认证绕过漏洞

公开时间

2023-01-13

更新时间

2023-01-16

CVE编号

CVE-2023-22602

其他编号

QVD-2023-2224

威胁类型

身份认证绕过

技术类型

身份认证错误

厂商

Apache

产品

Shiro

风险等级

奇安信CERT风险评级

风险等级

中危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未发现

未公开

漏洞描述

将 1.11.0版本前的 Apache Shiro 与大于 2.6版本的Spring Boot一起使用,且Shiro 和 Spring Boot使用不同的路径匹配模式时,攻击者通过构造特制的 HTTP 请求可实现身份验证绕过。

影响版本

Apache Shiro < 1.11.0

不受影响版本

Apache Shiro >= 1.11.0

其他受影响组件



威胁评估

漏洞名称

Apache Shiro身份认证绕过漏洞

CVE编号

CVE-2023-22602

其他编号

QVD-2023-2224

CVSS 3.1评级

高危

CVSS 3.1分数

7.0

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

当将 1.11.0版本前的 Apache Shiro 与大于 2.6版本的Spring Boot一起使用,且Shiro 和 Spring Boot使用不同的路径匹配模式时,攻击者可通过构造特制的 HTTP 请求可实现身份验证绕过。



处置建议

本升级:

目前,官方已有可更新版本,建议受影响用户尽快升级至对应版本。

https://shiro.apache.org/download.html


缓解措施:

修改Spring Boot的配置

spring.mvc.pathmatch.matching-strategy = ant_path_matcher



参考资料

[1]https://shiro.apache.org/download.html

[2]https://shiro.apache.org/blog/2023/01/13/apache-shiro-1110-released.html



时间线

2023年1月16日,奇安信 CERT发布安全风险通告。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存