1. 漏洞概述

监测到Apache发布安全公告，Apache Shiro存在身份验证绕过漏洞（CVE-2023-22602），该漏洞影响了1.11.0之前之前版本的 Shiro，漏洞威胁等级：中危。

2. 漏洞详情

Apache Shiro 是一个可执行身份验证、授权、加密和会话管理的 Java 安全框架。

由于 1.11.0 及之前版本的 Shiro 只兼容 Spring 的ant-style路径匹配模式（pattern matching），且 2.6 及之后版本的 Spring Boot 将 Spring MVC 处理请求的路径匹配模式从AntPathMatcher更改为了PathPatternParser，当 1.11.0 及之前版本的 Apache Shiro 和 2.6 及之后版本的 Spring Boot 使用不同的路径匹配模式时，攻击者访问可绕过 Shiro 的身份验证。

3. 影响版本

Apache Shiro < 1.11.0

4. 处置建议

一、官方已经针对漏洞发布了版本更新，下载地址如下：

https://shiro.apache.org/download.html

二、临时修复建议

1. 如果目前无法升级，若业务环境允许，使用白名单限制相关端口的访问来降低风险。

2. 将Spring Boot的路径匹配模式修改为spring.mvc.pathmatch.matching-strategy = ant_path_matcher

5. 参考链接

https://nvd.nist.gov/vuln/detail/CVE-2023-22602

https://shiro.apache.org/blog/2023/01/13/apache-shiro-1110-released.html