泛微OA官方發(fā)布Apache存在Apache Shiro身份驗(yàn)證繞過漏洞

[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

最近看到泛微發(fā)布的一個(gè)Apache存在Apache Shiro身份驗(yàn)證繞過漏洞；如下圖

Apache Shiro是一個(gè)開源安全框架，提供身份驗(yàn)證、授權(quán)、密碼學(xué)和會(huì)話管理。Shiro框架直觀、易用，同時(shí)也能提供健壯的安全性。

Apache發(fā)布安全公告，修復(fù)了一個(gè)存在于Apache Shiro中的身份驗(yàn)證繞過漏洞。該漏洞是由于RegexRequestMatcher配置錯(cuò)誤而存在的。遠(yuǎn)程攻擊者可以繞過身份驗(yàn)證過程，對(duì)應(yīng)用程序進(jìn)行未經(jīng)授權(quán)的訪問。應(yīng)用程序使用正則表達(dá)式中帶有.的 RegExPatternMatcher可能容易受到漏洞的影響；

影響版本:?Apache Shiro < 1.9.1

安全版本:?Apache Shiro 1.9.1

修復(fù)建議：?官方已發(fā)布安全版本，請(qǐng)及時(shí)下載更新，下載地址：

https://shiro.apache.org/download.html

問題未解決？付費(fèi)解決問題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫所說，是心之所感，思之所悟，行之所得；文當(dāng)無(wú)敷衍，落筆求簡(jiǎn)潔。 以所舍，求所獲；有所依，方所成！