6月29日,Apache 官方披露 Apache Shiro 权限绕过漏洞(CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。 相关介绍 Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,它可以执行身份验证、授权、加密...
2022年6月29日,Apache 官方披露 Apache Shiro 权限绕过漏洞(CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。 三、影响范围 Apache Shiro < 1.9.1 四、利用流程 访问 抓包修改 GET /permit/any HTTP/...
Shiro CVE-2022-32532 正则路径匹配绕过 mag1c7 2025-02-03 17:04:26 77591 所属地 广东省漏洞描述 Apache Shiro before 1.9.1, A RegexRequestMatcher can be misconfigured to be bypassed on some servlet containers. Applications using RegExPatternMatcher with .in the regular expression are possibly ...
近日,绿盟科技CERT监测到Apache Shiro官方修复了一个身份认证绕过漏洞(CVE-2022-32532),当在Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带”.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致系统配置的权限验证失效。目前漏洞细节与PoC已公开,请相关用户采取措施进行防护。 绿盟科...
1. 什么是Shiro授权绕过(CVE-2022-32532)漏洞? Shiro授权绕过(CVE-2022-32532)漏洞是一个影响Apache Shiro框架的安全漏洞。Apache Shiro是一个功能强大且易于使用的Java安全框架,提供身份验证、授权、加密和会话管理等功能。该漏洞允许攻击者通过构造特定的URL绕过Shiro的权限配置,从而在未授权的情况下访问受保护的资源...
2022年6月29日,Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。 二、漏洞编号 CVE-2022-32532 ...
2022年6月29日,Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。 二,环境配置 这里使用本人本地搭建的vulfocus靶场进行复现 打开环境 访问IP+端口即...
CVE-2022-32532 Apache Shiro 身份认证绕过 利用条件 Apache Shiro < 1.9.1 漏洞原理 使用RegexRequestMatcher进行权限配置时,若在其正则表达式带有"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。 漏洞利用 直接访问指定目录/permit/any时,访问被拒绝 ...
Apache Shiro身份认证绕过漏洞(CVE-2022-32532)技术细节及PoC在互联网上公开,当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。 腾讯安全专家建议受影响的用户尽快升级至Apache Shiro 1.9.1及以上版本。
萌新就是我sec 2022-06-30 11:24:07 54714 所属地 内蒙古Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)漏洞复现 0x01 漏洞简介 Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最...