奇安信CERT
致力於第一時間為企業級用戶提供安全風險通告和有效解決方案。
安全通告
漏洞名稱
Apache Shiro身份認證繞過漏洞
公開時間
2022-06-28
更新時間
2022-06-29
CVE編號
CVE-2022-32532
其他編號
QVD-2022-10156
威脅類型
身份認證繞過
技術類型
授權不當
廠商
Apache
產品
Shiro
風險等級
奇安信CERT風險評級
風險等級
中危
藍色(一般事件)
現時威脅狀態
POC狀態
EXP狀態
在野利用狀態
技術細節狀態
已發現
未發現
未發現
已公開
漏洞描述
當Apache Shiro中使用RegexRequestMatcher進行權限配置,且正則表達式中攜帶"."時,未經授權的遠程攻擊者可通過構造惡意數據包繞過身份認證,導致配置的權限驗證失效。
影響版本
Apache Shiro < 1.9.1
不受影響版本
Apache Shiro >= 1.9.1
其他受影響組件
無
目前,奇安信CERT已成功復現Apache Shiro 身份認證繞過漏洞(CVE-2022-32532),截圖如下:
威脅評估
漏洞名稱
Apache Shiro身份認證繞過漏洞
CVE編號
CVE-2022-32532
其他編號
QVD-2022-10156
CVSS 3.1評級
高危
CVSS 3.1分數
8.2
CVSS向量
訪問途徑(AV)
攻擊複雜度(AC)
網絡
低
所需權限(PR)
用戶交互(UI)
不需要
不需要
影響範圍(S)
機密性影響(C)
不變
高
完整性影響(I)
可用性影響(A)
低
無
危害描述
當Apache Shiro中使用RegexRequestMatcher進行權限配置,且正則表達式中攜帶"."時,未經授權的遠程攻擊者可通過構造惡意數據包繞過身份認證,導致配置的權限驗證失效。
處置建議
目前Apache官方已發布此漏洞修復版本,建議用戶儘快升級至Apache Shiro 1.9.1及以上版本。
https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1
產品解決方案
奇安信網站應用安全雲防護系統已更新防護特徵庫
奇安信網神網站應用安全雲防護系統已全面支持對Apache Shiro 身份認證繞過漏洞(CVE-2022-32532)的防護。
奇安信開源衛士已更新
奇安信開源衛士20220629. 1114版本已支持對Apache Shiro身份認證繞過漏洞(CVE-2022-32532)的檢測。
參考資料
[1]https://seclists.org/oss-sec/2022/q2/215
[2]https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh
時間線
2022年6月29日,奇安信 CERT發布安全風險通告
到奇安信NOX-安全監測平台查詢更多漏洞詳情
留言列表