Apache Shiro是一个强大且易用的Java安全框架,主要用于身份验证、授权、凭证验证和会话管理。

一、漏洞详情

近日，监测到Apache Shiro身份验证绕过漏洞（CVE-2023-22602）。该漏洞是由于当1.11.0及之前版本的Apache Shiro和2.6及之后版本的Spring Boot使用不同的路径匹配模式时，攻击者可以通过构造特制的HTTP请求可实现身份验证绕过。此漏洞影响范围广泛，建议受影响的用户尽快采取安全措施。

二、影响范围

受影响版本：

Apache Shiro < 1.11

安全版本：

Apache Shiro 1.11.0 或更高版本

三、修复方案

官方建议：目前官方已发布安全版本修复上述漏洞，建议受影响的用户升级至安全版本。

下载链接：https://shiro.apache.org/download.html

临时缓解措施：

可通过修改Spring boot的路径匹配模式为AntPathMatcher来缓解此漏洞：

spring.mvc.pathmatch.matching-strategy = ant_path_matcher