【已复现】Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)安全风险通告
【已复现】Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)安全风险通告
原创 QAX CERT 奇安信 CERT 2022-06-29 11:45
奇安信CERT
致力于
第一时间
为企业级用户提供安全风险
通告
和
有效
解决方案。
安全通告
近日,奇安信CERT监测到Apache Shiro身份认证绕过漏洞(CVE-2022-32532)技术细节及PoC在互联网上公开,当Apache Shiro中使用RegExPatternMatcher进行权限配置,且正则表达式中携带”.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
|
漏洞名称 |
Apache Shiro身份认证绕过漏洞 |
||
|
公开时间 |
2022-06-28 |
更新时间 |
2022-06-29 |
|
CVE编号 |
CVE-2022-32532 |
其他编号 |
QVD-2022-10156 |
|
威胁类型 |
身份认证绕过 |
技术类型 |
授权不当 |
|
厂商 |
Apache |
产品 |
Shiro |
|
风险等级 |
|||
|
奇安信CERT风险评级 |
风险等级 |
||
|
中危 |
蓝色(一般事件) |
||
|
现时威胁状态 |
|||
|
POC状态 |
EXP状态 |
在野利用状态 |
技术细节状态 |
|
已发现 |
未发现 |
未发现 |
已公开 |
|
漏洞描述 |
当Apache Shiro中使用RegExPatternMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。 |
||
|
影响版本 |
Apache Shiro < 1.9.1 |
||
|
不受影响版本 |
Apache Shiro >= 1.9.1 |
||
|
其他受影响组件 |
无 |
||
目前,奇安信CERT已成功复现Apache Shiro 身份认证绕过漏洞(CVE-2022-32532),截图如下:
威胁评估
|
漏洞名称 |
Apache Shiro身份认证绕过漏洞 |
|||
|
CVE编号 |
CVE-2022-32532 |
其他编号 |
QVD-2022-10156 |
|
|
CVSS 3.1评级 |
高危 |
CVSS 3.1分数 |
8.2 |
|
|
CVSS向量 |
访问途径(AV) |
攻击复杂度(AC) |
||
|
网络 |
低 |
|||
|
所需权限(PR) |
用户交互(UI) |
|||
|
不需要 |
不需要 |
|||
|
影响范围(S) |
机密性影响(C) |
|||
|
不变 |
高 |
|||
|
完整性影响(I) |
可用性影响(A) |
|||
|
低 |
无 |
|||
|
危害描述 |
当Apache Shiro中使用RegexPatternMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。 |
|||
处置建议
目前Apache官方已发布此漏洞修复版本,建议用户尽快升级至Apache Shiro 1.9.1及以上版本。
https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1
产品解决方案
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全面支持对Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)的防护。
奇安信开源卫士已更新
奇安信开源卫士20220629. 1114版本已支持对Apache Shiro身份认证绕过漏洞(CVE-2022-32532)的检测。
参考资料
[1]https://seclists.org/oss-sec/2022/q2/215
[2]https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh
时间线
2022年6月29日,奇安信 CERT发布安全风险通告
点击阅读原文
到奇安信NOX-安全监测平台查询更多漏洞详情