一、基本情况

Apache Shiro是一个功能强大且易于使用的Java安全框架，它可以执行身份验证、授权、加密和会话管理，可以用于保护任何应用程序——从命令行应用程序、移动应用程序到最大的web和企业应用程序。

二、漏洞描述

1.10.0版本之前的 Apache Shiro存在身份验证绕过漏洞，该漏洞是由于当通过RequestDispatcher接口进行请求转发或请求包含时导致的。

危害级别：高

三、影响范围

受影响版本：Apache Shiro < 1.10.0

安全版本：Apache Shiro = 1.10.0

四、修复建议

升级到 1.10.0 或更高版本。

可参考如下供应商提供的安全公告获得补丁信息：

https://shiro.apache.org/download.html

五、参考链接

国家信息安全漏洞共享平台 (cnvd.org.cn)

https://www.cnvd.org.cn/flaw/show/CNVD-2022-68497