设为首页收藏本站

关注JEECG发展历程 关注最新动态和版本, 记录JEECG成长点滴 更新日志 - 技术支持 - 招聘英才

JEECG最新版本下载 JEECG智能开发平台 - 显著提高开发效率 常见问题 - 入门视频 - 参与开源团队

商务QQ: 69893005、418799587 商务热线(5*8小时): 010-64808099 官方邮箱: jeecgos@163.com

JEECG技术论坛 - 基于BPM的低代码开发平台»首页 JeecgBoot—低代码开发平台 JeecgBoot官方资讯 【漏洞修复通知】修复Apache Shiro认证绕过漏洞 ...
返回列表 发新帖回复
查看: 9345|回复: 0

【漏洞修复通知】修复Apache Shiro认证绕过漏洞

[复制链接]
发表于 2022-7-11 16:30:01 | 显示全部楼层 |阅读模式
近日,Apache官方发布了安全公告,存在Apache Shiro身份认证绕过漏洞,漏洞编号CVE-2022-32532。

JeecgBoot官方已修复,建议大家尽快升级至Apache Shiro 1.9.1版本。


漏洞描述

Apache Shiro中使用RegexRequestMatcher进行权限配置,并且正则表达式中携带"."时,可通过绕过身份认证,导致身份权限验证失效。



影响范围

Apache Shiro < 1.9.1


修复方案

升级jeecg-boot/pom.xml中的shiro版本至1.9.1即可,如下图:


点击可参考修复方案



资料参考:

https://shiro.apache.org/download.html

https://seclists.org/oss-sec/2022/q2/215


回复

使用道具 举报

返回列表 发新帖 回复
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

使用Markdown编辑器编辑 使用富文本编辑器编辑

快速回复 返回顶部 返回列表