1. 漏洞概述
监测到Apache发布安全公告,Apache Shiro存在身份验证绕过漏洞(CVE-2023-22602),该漏洞影响了1.11.0之前之前版本的 Shiro,漏洞威胁等级:中危。
2. 漏洞详情
Apache Shiro 是一个可执行身份验证、授权、加密和会话管理的 Java 安全框架。
由于 1.11.0 及之前版本的 Shiro 只兼容 Spring 的ant-style路径匹配模式(pattern matching),且 2.6 及之后版本的 Spring Boot 将 Spring MVC 处理请求的路径匹配模式从AntPathMatcher更改为了PathPatternParser,当 1.11.0 及之前版本的 Apache Shiro 和 2.6 及之后版本的 Spring Boot 使用不同的路径匹配模式时,攻击者访问可绕过 Shiro 的身份验证。
3. 影响版本
Apache Shiro < 1.11.0
4. 处置建议
一、官方已经针对漏洞发布了版本更新,下载地址如下:
https://shiro.apache.org/download.html
二、临时修复建议
1. 如果目前无法升级,若业务环境允许,使用白名单限制相关端口的访问来降低风险。
2. 将Spring Boot的路径匹配模式修改为spring.mvc.pathmatch.matching-strategy = ant_path_matcher
5. 参考链接
https://nvd.nist.gov/vuln/detail/CVE-2023-22602
https://shiro.apache.org/blog/2023/01/13/apache-shiro-1110-released.html