近日,Apache官网公布了平安布告,存在Apache Shiro身份认证绕过破绽,破绽编号CVE-2022-32532。
JeecgBoot官网已修复,倡议大家尽快降级至Apache Shiro 1.9.1版本。
破绽形容
Apache Shiro中应用RegexRequestMatcher进行权限配置,并且正则表达式中携带”.”时,可通过绕过身份认证,导致身份权限验证生效。
影响范畴
Apache Shiro < 1.9.1
修复计划
降级jeecg-boot/pom.xml中的shiro版本至1.9.1即可,如下图:
点击可参考修复计划
材料参考:
https://shiro.apache.org/download.html
https://seclists.org/oss-sec/2022/q2/215
发表回复