全国服务热线:400-660-7881
近日,Apache官方发布公告,修复了一个身份认证绕过漏洞,漏洞编号为CVE-2023-22602。现将漏洞情况、影响范围以及工作提示通报如下:
一、漏洞基本情况
该漏洞是由于1.11.0及之前版本的 Apache Shiro只兼容Spring的 ant-style 路径匹配模式(patern matching),且2.6及之后版本的Spring Boot 将Spring MVC处理请求的路径匹配模式从AntPathMatcher 更改为了PathPatternParser.当1.11.0及之前版本的Apache Shiro和2.6及之后版本的Spring Boot 使用不同的路径匹配模式时,攻击者可以通过构造特制的HTTP请求实现身份验证绕过。
二、漏洞影响范围
Apache Shiro < 1.11.0
三、网络工作安全提示
鉴于本次发布的漏洞影响范围大,潜在危害程度高,请各单位务必要高度重视,及时开展以下几方面工作:一是及时升级至最新版本。立即排查使用该产品的情况,对于存在使用该软件相关版本的单位要第一时间进行升级,下载链接为 https:/shiro.apache.org/download.html。二是加强网络安全监测。进一步加强网络安全监测,做好应急值守,进一步完善本单位网络与信息系统突发事件应急预案,确保突发事件应急响应及时、规范、有效。三是及时上报突发情况。发生重大网络安全事件要第一时间上报。电话:86435678。