散文網(wǎng) » 生活 »日常 » 【漏洞修復(fù)通知】修復(fù)Apache Shiro認(rèn)證繞過(guò)漏洞

【漏洞修復(fù)通知】修復(fù)Apache Shiro認(rèn)證繞過(guò)漏洞

2022-07-11 17:17 作者:jeecg 0人讀過(guò) | 我要投稿

近日，Apache官方發(fā)布了安全公告，存在Apache Shiro身份認(rèn)證繞過(guò)漏洞，漏洞編號(hào)CVE-2022-32532。

JeecgBoot官方已修復(fù)，建議大家盡快升級(jí)至Apache Shiro 1.9.1版本。

漏洞描述

Apache Shiro中使用RegexRequestMatcher進(jìn)行權(quán)限配置，并且正則表達(dá)式中攜帶"."時(shí)，可通過(guò)繞過(guò)身份認(rèn)證，導(dǎo)致身份權(quán)限驗(yàn)證失效。

Apache Shiro < 1.9.1

升級(jí)jeecg-boot/pom.xml中的shiro版本至1.9.1即可，如下圖：

資料參考：

https://shiro.apache.org/download.html

https://seclists.org/oss-sec/2022/q2/215

標(biāo)簽：