Apache Shiro身份验证绕过漏洞

• 漏洞编号：CVE-2023-34478
  
• 漏洞类型：身份认证缺陷
• 漏洞等级：高危
• 发布时间：2023-07-24

漏洞描述：

Apache Shiro是一个强大且易用的Java安全框架，它具有身份验证、访问授权、数据加密、会话管理等功能。。

Apache Shiro版本1.12.0之前和2.0.0-alpha-3 之前容易受到路径遍历攻击，当与基于非规范化请求路由请求的API或其他web框架一起使用时，可能导致身份验证绕过。

影响版本：

修复建议

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。
漏洞修复版本：
Apache Shiro >= 1.12.0
Apache Shiro >= 2.0.0-alpha-3
下载链接：
https://github.com/apache/shiro/tags

参考链接:

https://www.mail-archive.com/announce@apache.org/msg08364.html
https://nvd.nist.gov/vuln/detail/CVE-2023-34478
https://github.com/apache/shiro-site/blob/3c5fbdbb8a7ea56b505a723da5df786d1c69273f/src/site/content/blog/2023/07/18/apache-shiro-1120-released.adoc#L20