近日网上有关于开源项目Apache Shiro 身份认证绕过漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Apache Shiro是 Apache 基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。
项目主页
代码托管地址
https://github.com/apache/shiro
CVE编号
CVE-2022-40664
漏洞情况
Apache Shiro是 Apache 基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。
1.10.0版本之前的 Apache Shiro,当通过 RequestDispatcher 进行转发或包含时存在身份验证绕过漏洞。
受影响的版本
org.apache.shiro:shiro-web@[1.0.0-incubating, 1.10.0)
修复方案
升级org.apache.shiro:shiro-web到
1.10.0 或更高版本
堡垒机新老平台都未使用Apache Shiro组件,所以该漏洞均不涉及