漏洞描述:
Apache Shiro身份认证绕过漏洞(CVE-2022-32532)技术细节及PoC在互联网上公开,当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。
腾讯安全专家建议受影响的用户尽快升级至Apache Shiro 1.9.1及以上版本。
Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。
漏洞编号:
CVE-2022-32532
漏洞等级:
高危,CVSS评分暂无
漏洞状态:
| 漏洞细节 | POC | EXP | 在野利用 |
|---|---|---|---|
| 已发现 | 已发现 | 未知 | 未知 |
受影响的版本:
Apache Shiro < 1.9.1
安全版本:
Apache Shiro >= 1.9.1
漏洞复现验证:
网络空间测绘:
腾讯安全网络空间测绘结果显示,Apache Shiro组件全球应用广泛,中国占比最高(33.75%)、其次是美国(22.85%)、阿联酋(6.83%)。在中国大陆地区,浙江、北京、广东、上海四省市位居前列,占比超过70%。
漏洞修复与缓解方案:
Apache官方已发布修复版本,腾讯安全专家建议受影响的用户尽快升级至Apache Shiro 1.9.1及以上版本。
https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1
腾讯安全解决方案:
- 腾讯T-Sec容器安全产品已支持检测企业容器镜像是否存在Apache Shiro 身份认证绕过漏洞(CVE-2022-32532);
- 腾讯T-Sec主机安全(云镜)已支持检测企业资产是否存在Apache Shiro 身份认证绕过漏洞(CVE-2022-32532);
- 腾讯T-Sec高级威胁检测系统(御界)已支持检测利用Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)的攻击活动;
- 腾讯T-Sec云防火墙已支持检测防御利用Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)的攻击;
- 腾讯T-Sec Web应用防火墙(WAF)已支持检测防御利用Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)的攻击。
参考链接:
https://seclists.org/oss-sec/2022/q2/215
https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh
时间线:
2022年6月29日,腾讯安全发布安全风险通告。腾讯安全全系列产品已支持检测、防御Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)。
