乐趣区

关于jeecg-boot:漏洞修复通知修复Apache-Shiro认证绕过漏洞

近日,Apache 官网公布了平安布告,存在 Apache Shiro 身份认证绕过破绽,破绽编号 CVE-2022-32532。

JeecgBoot 官网已修复,倡议大家尽快降级至 Apache Shiro 1.9.1 版本。

破绽形容

Apache Shiro 中应用 RegexRequestMatcher 进行权限配置,并且正则表达式中携带 ”.” 时,可通过绕过身份认证,导致身份权限验证生效。

影响范畴

Apache Shiro < 1.9.1

修复计划

降级 jeecg-boot/pom.xml 中的 shiro 版本至 1.9.1 即可,如下图:

点击可参考修复计划

材料参考:

https://shiro.apache.org/download.html

https://seclists.org/oss-sec/2022/q2/215

退出移动版