【安全公告】Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)风险通告

漏洞描述：

Apache Shiro身份认证绕过漏洞(CVE-2022-32532)技术细节及PoC在互联网上公开，当Apache Shiro中使用RegexRequestMatcher进行权限配置，且正则表达式中携带"."时，未经授权的远程攻击者可通过构造恶意数据包绕过身份认证，导致配置的权限验证失效。

腾讯安全专家建议受影响的用户尽快升级至Apache Shiro 1.9.1及以上版本。

Apache Shiro是一个开源安全框架，提供身份验证、授权、密码学和会话管理。

漏洞编号：

CVE-2022-32532

漏洞等级：

高危，CVSS评分暂无

漏洞状态：

受影响的版本：

Apache Shiro < 1.9.1

安全版本：

Apache Shiro >= 1.9.1

漏洞复现验证：

腾讯安全专家对该漏洞进行了复现验证

网络空间测绘：

腾讯安全网络空间测绘结果显示，Apache Shiro组件全球应用广泛，中国占比最高（33.75%）、其次是美国（22.85%）、阿联酋（6.83%）。在中国大陆地区，浙江、北京、广东、上海四省市位居前列，占比超过70%。

腾讯安全网络空间测绘结果

漏洞修复与缓解方案：

Apache官方已发布修复版本，腾讯安全专家建议受影响的用户尽快升级至Apache Shiro 1.9.1及以上版本。

https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1

腾讯安全解决方案：

• 腾讯T-Sec容器安全产品已支持检测企业容器镜像是否存在Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)；
• 腾讯T-Sec主机安全（云镜）已支持检测企业资产是否存在Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)；
• 腾讯T-Sec高级威胁检测系统（御界）已支持检测利用Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)的攻击活动；
• 腾讯T-Sec云防火墙已支持检测防御利用Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)的攻击；
• 腾讯T-Sec Web应用防火墙（WAF）已支持检测防御利用Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)的攻击。

参考链接：

https://seclists.org/oss-sec/2022/q2/215

https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh

时间线：

2022年6月29日，腾讯安全发布安全风险通告。腾讯安全全系列产品已支持检测、防御Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)。