近日,Apache 官网公布了平安布告,存在 Apache Shiro 身份认证绕过破绽,破绽编号 CVE-2022-32532。
JeecgBoot 官网已修复,倡议大家尽快降级至 Apache Shiro 1.9.1 版本。
破绽形容
Apache Shiro 中应用 RegexRequestMatcher 进行权限配置,并且正则表达式中携带 ”.” 时,可通过绕过身份认证,导致身份权限验证生效。
影响范畴
Apache Shiro < 1.9.1
修复计划
降级 jeecg-boot/pom.xml 中的 shiro 版本至 1.9.1 即可,如下图:
点击可参考修复计划
材料参考:
https://shiro.apache.org/download.html
https://seclists.org/oss-sec/2022/q2/215