Apache Shiro权限绕过漏洞(CVE-2022-32532)

一、漏洞概述

  Shiro是Apache旗下一个开源的Java安全框架,它具有身份验证、访问控制、数据加密、会话管理等功能,可以用于保护任何应用程序的安全,如移动应用程序、web应用程序等。

  2022年6月29日,Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。

二、受影响版本

Apache Shiro < 1.9.1

三、漏洞原理

 在shiro-core-1.9.0.jar中存在一个RegExPatternMatcher类,这个类的Pattern存在带.的正则表达式匹配,如果存在/n或/r字符时,就会判断错误。

四、漏洞复现环境

渗透机:Kali Linux
靶机:Vulfocus(点击进入在线靶场平台)

抓包工具:BurpSuite

五、漏洞复现

1.启动镜像 访问站点

 2.抓包通过Repeater分析

3.构造GET方式/permit/any不加token

 4.构造GET方式/permit/any加token

 5.使用%0a进行越权绕过

 六、修复建议

官方建议:

1、目前官方已在2022年6月29日发布Apache Shiro 1.9.1版本,建议受影响的用户更新至最新安全版本。

下载链接:https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh