Apache Shiro是一个可以提供身份验证、授权、密码学和会话管理等功能的开源安全框架。Shiro框架直观、易用,也能提供强大的安全性。
监测发现,当Apache Shiro版本小于1.11.0且Spring Boot版本大于2.6时,一个特制的HTTP请求可能会导致绕过身份验证。该漏洞是由于Apache Shiro和Spring Boot使用不同的模式匹配技术导致,不法分子可利用该漏洞在未授权的情况下,构造恶意数据绕过Apache Shiro的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。
影响版本 Apache Shiro < 1.11.0
官方已发布最新版本,建议及时更新升级到最新版本。链接如下:
https://shiro.apache.org/download.html
