漏洞修复通知修复Apache Shiro认证绕过漏洞

Posted JEECG官方博客

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞修复通知修复Apache Shiro认证绕过漏洞相关的知识,希望对你有一定的参考价值。

近日,Apache官方发布了安全公告,存在Apache Shiro身份认证绕过漏洞,漏洞编号CVE-2022-32532。

JeecgBoot官方已修复,建议大家尽快升级至Apache Shiro 1.9.1版本。

漏洞描述

Apache Shiro中使用RegexRequestMatcher进行权限配置,并且正则表达式中携带"."时,可通过绕过身份认证,导致身份权限验证失效。

影响范围

Apache Shiro < 1.9.1

修复方案

升级jeecg-boot/pom.xml中的shiro版本至1.9.1即可,如下图:

点击可参考修复方案

资料参考:

https://shiro.apache.org/download.html

https://seclists.org/oss-sec/2022/q2/215

以上是关于漏洞修复通知修复Apache Shiro认证绕过漏洞的主要内容,如果未能解决你的问题,请参考以下文章

Apache Tomcat请求对象安全绕过漏洞

请马上修复!SaltStack远程命令执行漏洞

Nacos 1.4.1发布,修复指定特殊UA可绕过所有鉴权的安全漏洞

还未解析上线就先收到阿里云的修复漏洞通知

Shiro又爆高危漏洞,Apache Shiro身份验证绕过漏洞安全风险通告

openssh漏洞怎么修复 windows