事件描述

Apache Shiro是一个Java安全框架，它具有身份验证、访问授权、数据加密、会话管理等功能。

Apache Shiro存在身份验证绕过漏洞，当通过RequestDispatcher接口进行请求转发或请求包含时可触发，目前没有详细的漏洞细节提供。

影响范围

Apache Shiro < 1.10.0

漏洞编号

CNVD-2022-68497(CVE-2022-40664)

安全建议

目前Apache官方已发布此漏洞升级补丁，请排查使用此组件的信息系统，尽快进行升级。