事件描述

Apache Shiro是一个强大且易用的Java安全框架，它具有身份验证、访问授权、 数据加密、会话管理等功能。

近日，河南省教育信息安全监测中心监测到Apache Shiro框架存在身份验证绕过 漏洞。Apache Shiro版本1.12.0之前和2.0.0-alpha-3之前容易受到路径遍历攻 击，当与基于非规范化请求路由请求的API或其他web框架一起使用时，可能导致身份验证绕过。

影响范围

Apache Shiro<1.12.0

2.0.0<=Apache Shiro<2.0.0-alpha-3

漏洞编号

CVE-2023-34478

漏洞危害

高危

安全建议

正式防护方案：官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。 漏洞修复版本：Apache Shiro >= 1.12.0 Apache Shiro >= 2.0.0-alpha-3下载链接：https://github.com/apache/shiro/tags

临时防护方案：如果目前无法升级，若业务环境允许，使用白名单限制web端口的访问来降低风险。

信息化处

2022年7月26日