一、漏洞公告

2022年10月13日，Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532)。

参考链接:

https://lists.apache.org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg

https://shiro.apache.org/documentation.html

二、影响范围

受影响版本:

Apache Shiro < 1.10.0

三、漏洞描述

Apache Shiro是一个功能强大且易于使用的Java安全框架，它可以执行身份验证、授权、加密和会话管理，可以用于保护任何应用程序——从命令行应用程序、移动应用程序到最大的web和企业应用程序。

Apache Shiro存在身份验证绕过漏洞，该漏洞是由于当通过RequestDispatcher接口进行请求转发或请求包含时导致的，目前没有详细的漏洞细节提供。。

四、缓解措施

高危。

用户可参考如下供应商提供的安全公告获得补丁信息：https://shiro.apache.org/download.html