• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 應(yīng)用
  • -
    • Apache Shiro認(rèn)證繞過漏洞CVE-2022-32532
    • CNNVD編號(hào):未知
    • 危害等級(jí): 高危 
    • CVE編號(hào):CVE-2022-32532
    • 漏洞類型: 認(rèn)證繞過
    • 威脅類型:未知
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時(shí)間:2023-03-20
    • 更新時(shí)間:2023-03-20

    漏洞簡介

    2022年6月29日,深信服安全團(tuán)隊(duì)監(jiān)測到一則 Apache Shiro 組件存在認(rèn)證繞過漏洞的信息,漏洞編號(hào):CVE-2022-32532,漏洞威脅等級(jí):高危。

    該漏洞是由于 RegexRequestMatcher 不正當(dāng)配置存在安全問題,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)繞過 Shiro 的權(quán)限配置機(jī)制,最終可繞過用戶身份認(rèn)證,導(dǎo)致權(quán)限校驗(yàn)失敗。

    漏洞公示

    暫無

    參考網(wǎng)站

    https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh

    受影響實(shí)體

    Apache Shiro 是一個(gè)功能強(qiáng)大且易于使用的 Java 安全框架,功能包括身份驗(yàn)證、授權(quán)、加密和會(huì)話管理??赡苁苈┒从绊懙馁Y產(chǎn)分布于世界各地,主要分布在中國、美國、日本等國家,國內(nèi)主要集中在廣東、北京、上海等地。

    目前受影響的 Apache Shiro 版本:
     Apache Shiro < 1.9.1

    補(bǔ)丁


    解決方案

    圖片

    1.如何檢測組件系統(tǒng)版本

    方案一

    全盤搜索 shiro,如果存在 shiro-core-{version}.jar,則用戶可能受漏洞影響。


    方案二

    如果項(xiàng)目是由 maven 編譯的(一般在項(xiàng)目根目錄下會(huì)有 pom.xml)


    在此文件中搜索 shiro-core,如果可以搜索到關(guān)鍵字,并且 <version> 標(biāo)簽內(nèi)部的字段在 1.9.0 版本及其以下,則可能受到漏洞的影響。(圖中 的shiro-core的版本是 1.9.0,在漏洞影響范圍內(nèi))。 如以上檢索均未發(fā)現(xiàn)結(jié)果,不能夠完全下結(jié)論一定沒有使用 Apache Shiro 組件。


    如以上檢索均未發(fā)現(xiàn)結(jié)果,不能夠完全下結(jié)論一定沒有使用 Apache Shiro 組件。

    圖片

    2.官方修復(fù)建議

    當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:

    https://shiro.apache.org/download.html

    圖片

    3.深信服解決方案

    3.1 主動(dòng)檢測

    支持對(duì) Apache Shiro 認(rèn)證繞過漏洞的主動(dòng)檢測,可批量快速檢出業(yè)務(wù)場景中該事件的受影響資產(chǎn)情況,相關(guān)產(chǎn)品如下:

    【深信服安全云眼CloudEye】預(yù)計(jì)2022年7月1日發(fā)布檢測方案。
    【深信服云鏡YJ】預(yù)計(jì)2022年7月1日發(fā)布檢測方案。
    【深信服漏洞評(píng)估工具TSS】預(yù)計(jì)2022年7月1日發(fā)布檢測方案。
    【深信服安全托管服務(wù)MSS】預(yù)計(jì)2022年7月1日發(fā)布檢測方案。