Apache Shiro组件介绍

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库（JDBC）、类似INI的文本配置资源以及属性文件等。

漏洞描述

Apache Shiro存在一个未授权访问漏洞，因为shiro在与spring组合使用时，其处理url的方式和spring存在差别，从而导致了授权的绕过。通过构造特殊的HTTP请求，可以访问未授权的信息。

影响范围

目前受影响的Apache Shiro版本：

Apache Shiro < 1.7.0

修复建议

目前厂商已发布升级补丁修复漏洞，请受影响用户及时更新官方补丁。官方链接如下：

https://shiro.apache.org/download.html