Apache Shiro認(rèn)證繞過(guò)漏洞CVE-2022-32532
  • CNNVD編號(hào):未知
  • 危害等級(jí): 高危 
  • CVE編號(hào):CVE-2022-32532
  • 漏洞類(lèi)型: 認(rèn)證繞過(guò)
  • 威脅類(lèi)型:未知
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2023-03-20
  • 更新時(shí)間:2023-03-20

漏洞簡(jiǎn)介

2022年6月29日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則 Apache Shiro 組件存在認(rèn)證繞過(guò)漏洞的信息,漏洞編號(hào):CVE-2022-32532,漏洞威脅等級(jí):高危。

該漏洞是由于 RegexRequestMatcher 不正當(dāng)配置存在安全問(wèn)題,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)繞過(guò) Shiro 的權(quán)限配置機(jī)制,最終可繞過(guò)用戶(hù)身份認(rèn)證,導(dǎo)致權(quán)限校驗(yàn)失敗。

漏洞公示

暫無(wú)

參考網(wǎng)站

https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh

受影響實(shí)體

Apache Shiro 是一個(gè)功能強(qiáng)大且易于使用的 Java 安全框架,功能包括身份驗(yàn)證、授權(quán)、加密和會(huì)話(huà)管理??赡苁苈┒从绊懙馁Y產(chǎn)分布于世界各地,主要分布在中國(guó)、美國(guó)、日本等國(guó)家,國(guó)內(nèi)主要集中在廣東、北京、上海等地。

目前受影響的 Apache Shiro 版本:
 Apache Shiro < 1.9.1

補(bǔ)丁


解決方案

圖片

1.如何檢測(cè)組件系統(tǒng)版本

方案一

全盤(pán)搜索 shiro,如果存在 shiro-core-{version}.jar,則用戶(hù)可能受漏洞影響。


方案二

如果項(xiàng)目是由 maven 編譯的(一般在項(xiàng)目根目錄下會(huì)有 pom.xml)


在此文件中搜索 shiro-core,如果可以搜索到關(guān)鍵字,并且 <version> 標(biāo)簽內(nèi)部的字段在 1.9.0 版本及其以下,則可能受到漏洞的影響。(圖中 的shiro-core的版本是 1.9.0,在漏洞影響范圍內(nèi))。 如以上檢索均未發(fā)現(xiàn)結(jié)果,不能夠完全下結(jié)論一定沒(méi)有使用 Apache Shiro 組件。


如以上檢索均未發(fā)現(xiàn)結(jié)果,不能夠完全下結(jié)論一定沒(méi)有使用 Apache Shiro 組件。

圖片

2.官方修復(fù)建議

當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶(hù)及時(shí)更新升級(jí)到最新版本。鏈接如下:

https://shiro.apache.org/download.html

圖片

3.深信服解決方案

3.1 主動(dòng)檢測(cè)

支持對(duì) Apache Shiro 認(rèn)證繞過(guò)漏洞的主動(dòng)檢測(cè),可批量快速檢出業(yè)務(wù)場(chǎng)景中該事件的受影響資產(chǎn)情況,相關(guān)產(chǎn)品如下:

【深信服安全云眼CloudEye】預(yù)計(jì)2022年7月1日發(fā)布檢測(cè)方案。
【深信服云鏡YJ】預(yù)計(jì)2022年7月1日發(fā)布檢測(cè)方案。
【深信服漏洞評(píng)估工具TSS】預(yù)計(jì)2022年7月1日發(fā)布檢測(cè)方案。
【深信服安全托管服務(wù)MSS】預(yù)計(jì)2022年7月1日發(fā)布檢測(cè)方案。