Apache Shiro 身份认证绕过漏洞 （CVE-2022-40664）

2022-10-13

一、概要

近日，华为云关注到Apache Shiro官方发布安全公告，披露在Apache Shiro < 1.10.0版本中，当通过RequestDispatcher 转发或包含时存在身份验证绕过漏洞（CVE-2022-40664），攻击者可以通过发送特制的HTTP请求获取对应用程序的未经授权的访问。

华为云提醒使用Apache Shiro的用户及时安排自检并做好安全加固。

参考链接：

https://shiro.apache.org/security-reports.html#cve_2022_40664

https://lists.apache.org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

Apache Shiro < 1.10.0

安全版本：

Apache Shiro 1.10.0

四、漏洞处置

目前，官方已发布最新的1.10.0版本修复了该漏洞，请受影响的用户升级至安全版本：

https://github.com/apache/shiro/tags

若无法及时升级，可通过白名单限制web端口的访问来进行临时规避（实施前请评估对业务的影响）。

华为云WAF用户可在WAF控制台配置精准防护规则，对业务管理后台入口（如/admin，以实际管理后台入口地址为准）设置IP访问控制，非管理员常用IP对管理后台入口的请求进行阻断。配置指导参见配置精准访问防护规则。

注：修复漏洞前请将资料备份，并进行充分测试。