Apache Shiro 身份認證繞過漏洞 （CVE-2022-40664）

2022-10-13

一、概要

近日，華為云關注到Apache Shiro官方發(fā)布安全公告，披露在Apache Shiro < 1.10.0版本中，當通過RequestDispatcher 轉(zhuǎn)發(fā)或包含時存在身份驗證繞過漏洞（CVE-2022-40664），攻擊者可以通過發(fā)送特制的HTTP請求獲取對應用程序的未經(jīng)授權(quán)的訪問。

華為云提醒使用Apache Shiro的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://shiro.apache.org/security-reports.html#cve_2022_40664

https://lists.apache.org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急） 

三、漏洞影響范圍

影響版本：

Apache Shiro < 1.10.0

安全版本：

Apache Shiro 1.10.0

四、漏洞處置

目前，官方已發(fā)布最新的1.10.0版本修復了該漏洞，請受影響的用戶升級至安全版本：

https://github.com/apache/shiro/tags

若無法及時升級，可通過白名單限制web端口的訪問來進行臨時規(guī)避（實施前請評估對業(yè)務的影響）。

華為云WAF用戶可在WAF控制臺配置精準防護規(guī)則，對業(yè)務管理后臺入口（如/admin，以實際管理后臺入口地址為準）設置IP訪問控制，非管理員常用IP對管理后臺入口的請求進行阻斷。配置指導參見配置精準訪問防護規(guī)則。

注：修復漏洞前請將資料備份，并進行充分測試。