Уязвимость обхода аутентификации по альтернативному имени в Apache Shiro. Эта проблема затрагивает Apache Shiro: до версии 2.0.7. Пользователям рекомендуется выполнить обновление до версии 2.0.7, которая устраняет проблему.
Проблема затрагивает только статические файлы. Если статические файлы обслуживаются из файловой системы, не чувствительной к регистру, например, при настройке macOS по умолчанию, доступ к статическим файлам можно получить, изменив регистр имени файла в запросе. Если в Shiro присутствуют только фильтры нижнего регистра (обычные по умолчанию), их можно обойти таким образом.
В Shiro 2.0.7 и более поздних версиях появились новые параметры для устранения этой проблемы.
shiro.ini: filterChainResolver.caseInsensitivity = true
application.propertie: shiro.caseInsensitivity=true
В Shiro 3.0.0 и более поздних версиях (в будущем) это значение будет использоваться по умолчанию.
Показать оригинальное описание (EN)
Authentication Bypass by Alternate Name vulnerability in Apache Shiro. This issue affects Apache Shiro: before 2.0.7. Users are recommended to upgrade to version 2.0.7, which fixes the issue. The issue only effects static files. If static files are served from a case-insensitive filesystem, such as default macOS setup, static files may be accessed by varying the case of the filename in the request. If only lower-case (common default) filters are present in Shiro, they may be bypassed this way. Shiro 2.0.7 and later has a new parameters to remediate this issue shiro.ini: filterChainResolver.caseInsensitive = true application.propertie: shiro.caseInsensitive=true Shiro 3.0.0 and later (upcoming) makes this the default.
Характеристики атаки
Последствия
Строка CVSS v3.1