2023 年 7 月 24 日,Apache Shiro 发布更新版本,修复了一个身份验证绕过漏洞,漏洞编号:CVE-2023-34478,漏洞危害等级:高危。 Apache Shiro 版本 1.12.0 之前和 2.0.0-alpha-3 之前容易受到路径遍历攻击,当与基于非规范化请求路由请求的 API 或其他 web 框架一起使用时,可能导致身份验证绕过。2023 年 7 月 24 日,Apache Shiro 发布更新版本,修复了一个身份验证绕过漏洞,漏洞编号:CVE-2023-34478,漏洞危害等级:高危。 Apache Shiro 版本 1.12.0 之前和 2.0.0-alpha-3 之前容易受到路径遍历攻击,当与基于非规范化请求路由请求的 API 或其他 web 框架一起使用时,可能导致身份验证绕过。
JeecgBoot 官方已修复,建议大家尽快升级至 Apache Shiro 1.12.0 版本。
一、漏洞描述
Apache Shiro 发布更新版本,修复了一个身份验证绕过漏洞,漏洞编号:CVE-2023-34478,漏洞危害等级:高危
二、影响范围
- Apache Shiro 版本 < 1.12.0
- Apache Shiro 版本 < 2.0.0-alpha-3
三、安全措施 3.1 升级版本
目前该漏洞已经修复,受影响用户可升级到以下版本:
- Apache Shiro 版本 >= 1.12.0
- Apache Shiro 版本 >= 2.0.0-alpha-3
下载链接:
https://github.com/apache/shiro/tags
四、JeecgBoot 修复方案
升级 jeecg-boot/pom.xml 中的 shiro 版本至 1.12.0 即可,如下图:
标签:
jeecgboot
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· DeepSeek 开源周回顾「GitHub 热点速览」
2022-07-25 JeecgBoot 3.3.0 版本发布,基于代码生成器的企业级低代码平台