`
zhangdaiscott
  • 浏览: 446951 次
  • 性别: Icon_minigender_1
  • 来自: 北京
博客专栏
8fb25857-16b4-3681-ab5e-e319f45c42a8
Jeecg快速开发平台
浏览量:0
文章分类
社区版块
存档分类

【漏洞修复通知】修复Apache Shiro认证绕过漏洞

阅读更多

近日,Apache官方发布了安全公告,存在Apache Shiro身份认证绕过漏洞,漏洞编号CVE-2022-32532。

JeecgBoot官方已修复,建议大家尽快升级至Apache Shiro 1.9.1版本。

漏洞描述

Apache Shiro中使用RegexRequestMatcher进行权限配置,并且正则表达式中携带"."时,可通过绕过身份认证,导致身份权限验证失效。

影响范围

Apache Shiro < 1.9.1

修复方案

升级jeecg-boot/pom.xml中的shiro版本至1.9.1即可,如下图:

点击可参考修复方案

资料参考:

https://shiro.apache.org/download.html

https://seclists.org/oss-sec/2022/q2/215

分享到:
评论

相关推荐

    Apache shiro1.2.4反序列化漏洞介绍.docx

    为了修复这个问题,Shiro在1.2.4之后的版本中引入了改进,特别是建议升级到1.5.2或更高版本,因为1.5.2之前的版本还存在其他权限绕过漏洞。及时更新到最新版本可以有效防止这类攻击,提高系统的安全性。 针对此漏洞...

    shiro认证绕过漏洞分析(CVE-2020-13933)1

    在讨论Shiro的认证绕过漏洞CVE-2020-13933之前,我们首先需要了解Shiro的基本工作原理。 Shiro的认证过程通常包括以下几个步骤: 1. 用户提交凭证(如用户名和密码)。 2. Shiro的 Realm 对象验证这些凭证, Realm ...

    shiro1.6版本

    在本文中,我们将深入探讨Apache Shiro 1.6版本的重要更新,以及它如何修复了一个绕过认证的严重漏洞。 Apache Shiro 1.6.0 版本于2020年8月17日正式发布,这个版本主要是为了提升安全性,修复了之前版本中存在的...

    shiro权限绕过漏洞分析(cve-2020-1957) _ Spoock1

    然而,如标题和描述中提到的,存在一个名为CVE-2020-1957的安全漏洞,允许攻击者绕过Shiro的权限检查,从而访问受保护的资源。 该漏洞主要发生在Shiro 1.5.1及更早版本中,当用户请求的URL(URL1)通过Shiro的权限...

    shiro-core 1.6.0版本 下载.rar

    近日,shiro被爆出Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989),攻击者可以使用包含payload的恶意请求绕过Shiro的身份认证,漏洞于1.5.3修复。实际上,这个修复并不完全,由于shiro在处理url时与spring仍然存在...

    shiro-core-1.7.0.jar

    近日,shiro被爆出Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989),攻击者可以使用包含payload的恶意请求绕过Shiro的身份认证,漏洞于1.5.3修复。实际上,这个修复并不完全,由于shiro在处理url时与spring仍然存在...

    shiro1.7.1.zip

    同时,提到了“权限绕过漏洞 (CVE-2020-17523)”,这是一个重要的安全问题。CVE-2020-17523是Apache Shiro在2020年发现的一个安全漏洞,攻击者可能利用该漏洞绕过权限检查,访问未授权的资源。Shiro 1.7.1应该已经...

    【技术分享】Shiro 权限绕过的历史线(下) .pdf

    总之,Apache Shiro的CVE-2020-13933是一个权限绕过漏洞,源于其URL处理和路径匹配逻辑中的缺陷。开发者应当及时更新到不受影响的Shiro版本,以防止潜在的安全风险。对于使用Shiro的系统,应仔细检查配置,特别是...

    shiro_attack_2.2.zip

    8. **版本升级**:及时关注Apache Shiro的更新,升级到最新版本以修复已知安全漏洞。 **总结** 了解Apache Shiro的基本原理和安全风险是确保应用安全的重要步骤。开发者应该熟悉Shiro提供的安全机制,正确配置和...

    shiro1.5.3 jar包 能解决shiro攻击

    例如,Shiro 在处理某些特定请求时可能存在权限绕过或者注入攻击的风险。开发者及时地升级到 1.5.3 版本,可以修复这些漏洞,提高应用程序的安全性。 在 Java 开发中,定期更新依赖库是防止安全风险的重要手段。...

    shiro-attack-4.5.2-SNAPSHOT-all.7z

    例如,绕过凭证校验或者利用重放攻击。 2. **授权漏洞**:权限控制可能过于宽松,导致用户可以访问他们不应拥有的资源。这可能源于不当的角色分配或权限设置。 3. **会话管理问题**:如会话固定攻击(Session ...

    2020攻防演练弹药库.docx

    漏洞利用工具有GitHub上的wyzxxz/shiro_rce项目,同时,可以使用URLDNS进行快速检测,但可能需要绕过网络限制。 **防护措施**:升级到Shiro的最新版本,确保JDK版本为8u191/7u201/6u211/11.0.1或更高,WAF应拦截...

    ShiroExploit.V2.51.zip

    由于没有提供具体的漏洞详情,我们只能推测这可能涉及到权限验证、数据处理或通信安全方面的弱点,使得攻击者可以绕过Shiro的安全机制,进行未授权的访问或执行操作。 **一键化利用工具** "一键化利用工具"通常是...

    渗透测试工具-weblogic\shiro

    例如,测试者可能会利用Shiro的漏洞来模拟用户登录,尝试绕过认证或获取未经授权的资源。 在进行WebLogic和Shiro的渗透测试时,以下是一些重要的知识点: 1. **漏洞识别**:了解常见的WebLogic和Shiro漏洞,如CVE...

    JAVA 插件化漏洞扫描器.zip

    扫描器集成Shiro相关POC,意味着它能检测Shiro配置错误、权限绕过等安全隐患。 4. **Spring**:Spring是一个全面的Java开发框架,包括了面向切面编程(AOP)、数据访问/集成、MVC等模块。Spring框架的安全组件如...

    斗象-2023攻防演练必修高危漏洞集合(水印)

    10. **Apache Shiro身份验证绕过漏洞(CVE-2023-34478)**:这个漏洞让攻击者能够绕过身份验证机制,未经授权访问系统资源。 11. **Metabase远程代码执行漏洞(CVE-2023-38646)**:Metabase数据分析工具的漏洞可能让...

    struts 2 漏洞报告

    漏洞修复 针对此漏洞,推荐采取以下措施进行修复: 1. **升级Struts 2**:最简单也是最有效的解决方案是升级到Struts 2 的最新稳定版本。 2. **禁用Jakarta Multipart解析器**:如果暂时无法升级框架版本,可以...

    网络安全面经收集频率最高的100道题

    CDN绕过可能涉及IP追踪、直接访问源服务器或利用CDN的缓存机制进行攻击。 以上是网络安全面试中常见的问题和解答,理解和掌握这些知识点对于提升安全防护能力至关重要。在实际工作中,还需要不断学习和关注最新的...

Global site tag (gtag.js) - Google Analytics