孔梦龙,堡垒机新老平台都未使用Apache Shiro组件涉及情况
1676538745,
漏洞相关信息
漏洞编号: CVE-2022-40664 漏洞名称: Apache Shiro 身份认证绕过漏洞 产品型号及版本: 不涉及漏洞描述
近日网上有关于开源项目Apache Shiro 身份认证绕过漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Apache Shiro是 Apache 基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。
项目主页
https://shiro.apache.org/
代码托管地址
https://github.com/apache/shiro
CVE编号
CVE-2022-40664
漏洞情况
Apache Shiro是 Apache 基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。
1.10.0版本之前的 Apache Shiro,当通过 RequestDispatcher 进行转发或包含时存在身份验证绕过漏洞。
受影响的版本
org.apache.shiro:shiro-web@[1.0.0-incubating, 1.10.0)
修复方案
升级org.apache.shiro:shiro-web到 1.10.0 或更高版本
漏洞解决方案
堡垒机新老平台都未使用Apache Shiro组件,所以该漏洞均不涉及
CRM论坛(CRMbbs.com)——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容,欢迎向我们投稿,共建CRM多元化生态体系,创建CRM客户管理一体化生态解决方案。本文来源:知了社区基于知识共享署名-相同方式共享3.0中国大陆许可协议,堡垒机新老平台都未使用Apache Shiro组件涉及情况