组件介绍

Apache Shiro是一个可以提供身份验证、授权、密码学和会话管理等功能的开源安全框架。Shiro框架不仅直观、易用，同时也能提供健壮的安全性。
使用Shiro可以轻松地、快速地保护任何应用程序，从小型的移动应用程序到大型的Web和企业应用程序。其内置了可以连接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库（JDBC）、类似INI的文本配置资源以及属性文件等。

漏洞描述

2022年6月29日，深信服安全团队监测到一则Apache Shiro组件存在认证绕过漏洞的信息，漏洞编号：CVE-2022-32532，漏洞威胁等级：高危。

该漏洞是由于RegexRequestMatcher不正当配置存在安全问题，攻击者可利用该漏洞在未授权的情况下，构造恶意数据绕过Shiro的权限配置机制，最终可绕过用户身份认证，导致权限校验失败。

影响范围

Apache Shiro是一个功能强大且易于使用的Java安全框架，功能包括身份验证、授权、加密和会话管理。可能受漏洞影响的资产分布于世界各地，主要分布在中国、美国、日本等国家，国内主要集中在广东、北京、上海等地。

目前受影响的Apache Shiro版本：

Apache Shiro < 1.9.1

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。