Apache Shiro 是一个开源的Java安全框架,用于简化应用程序的身份验证、授权、加密和会话管理等安全相关的操作。
Apache Shiro 受影响版本中,由于 InvalidRequestFilter#isAccessAllowed 方法未对用户可控的URL参数有效过滤,当blockSemicolon配置关闭时(默认开启),攻击者可能构造包含恶意字符(如:/..;)的URL参数绕过身份验证,读取系统敏感文件信息。
"将 org.apache.shiro:shiro-all 升级至 1.13.0 及以上版本"
"将 org.apache.shiro:shiro-web 升级至 2.0.0-alpha-4 及以上版本"
"将组件 org.apache.shiro:shiro-web 升级至 1.13.0 及以上版本"
"将组件 org.apache.shiro:shiro-all 升级至 2.0.0-alpha-4 及以上版本"