Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro与Spring Boot 2.6+一起使用时,特制的HTTP请求可能导致认证绕过。当Shiro和Spring Boot使用不同的模式匹配技术时,认证绕过就会发生。
受影响版本
Apache Shiro < v1.11.0
不受影响版本
Apache Shiro >= v11.0
攻击者利用此漏洞可以绕过权限认证,访问普通用户不能访问的api。