Shiro CVE-2023-34478 路径规范化不一致
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
Apache Shiro在1.12.0之前存在路径遍历漏洞,可能导致身份验证绕过。建议更新至1.12.0+或2.0.0-alpha-3+。该漏洞源于路径匹配未规范化,影响其他API或框架。补丁可防止路径穿越符号访问,适用于所有不基于规范化的路径匹配组件。
🎯
关键要点
- Apache Shiro在1.12.0之前存在路径遍历漏洞,可能导致身份验证绕过。
- 建议更新至Apache Shiro 1.12.0+或2.0.0-alpha-3+以修复该漏洞。
- 漏洞源于路径匹配未规范化,影响其他API或框架。
- 路径规范化是指对带有'/..'或'/.'的路径进行规范化处理。
- 该漏洞与CVE-2020-17510和CVE-2023-22602的漏洞原因相似,但这两个漏洞是基于Spring框架的。
- 补丁可以防止路径穿越符号的访问,适用于所有不基于规范化的路径匹配组件。
- InvalidRequestFilter会被作为“Global Filter”添加到所有pattern对应的过滤链中。
❓
延伸问答
Apache Shiro的路径遍历漏洞是什么?
Apache Shiro在1.12.0之前存在路径遍历漏洞,可能导致身份验证绕过。
如何修复Apache Shiro的路径遍历漏洞?
建议更新至Apache Shiro 1.12.0+或2.0.0-alpha-3+以修复该漏洞。
路径规范化在Apache Shiro中有什么作用?
路径规范化是指对带有'/..'或'/.'的路径进行规范化处理,以防止路径绕过攻击。
该漏洞与其他已知漏洞有什么相似之处?
该漏洞与CVE-2020-17510和CVE-2023-22602的漏洞原因相似,都是由于路径匹配未规范化导致的。
补丁如何防止路径穿越攻击?
补丁可以防止路径穿越符号的访问,适用于所有不基于规范化的路径匹配组件。
InvalidRequestFilter在Apache Shiro中有什么作用?
InvalidRequestFilter会作为“Global Filter”添加到所有pattern对应的过滤链中。
➡️
