【网络安全】关于ApacheShiro身份验证绕过高危漏洞、ApacheDubbo反序列化高危漏洞的预警通报

近日，Apache官方公布了Apache Shiro身份验证绕过高危漏洞和Apache Dubbo反序列化高危漏洞。远程攻击者通过Apache Shiro身份验证绕过高危漏洞可绕过身份验证，通过Apache Dubbo反序列化高危漏洞可造成恶意代码执行。

一、漏洞情况

Apache Shiro 是一个功能强大且易于使用的Java安全框架，具有身份验证、授权、加密和会话管理等功能。通过使用Apache Shiro的API，可轻松快速地保护任何应用程序。Apache Shiro中存在一个身份验证绕过高危漏洞，当Apache Shiro与Spring Dynamic Controllers一起使用时，远程攻击者可通过构造恶意请求包进行利用，成功利用此漏洞可绕过身份验证。

Apache Dubbo是一个分布式框架，致力于提供高性能透明化的RPC远程服务调用方案，以及SOA服务治理方案。Apache Dubbo在实际应用场景中主要负责解决分布式的相关需求。Apache Dubbo中存在一个反序列化高危漏洞，远程攻击者可通过发送带有无法识别的服务、方法名称或带有恶意参数的RPC请求对此漏洞进行利用，成功利用可造成恶意代码执行。

二、影响范围

Apache Dubbo反序列化高危漏洞可影响：Apache Shiro <= 1.5.2、Apache SkyWalking = 7.0.0版本产品；Apache Dubbo反序列化高危漏洞可影响：2.7.0 <= Apache Dubbo <= 2.7.6、2.6.0 <= Apache Dubbo <= 2.6.7、Apache Dubbo 全部 2.5.x 版本（不再被官方团队支持）。

三、处置建议

Apache官方已发布更新予以修复漏洞，请广大用户立即参考附件参考链接修复漏洞。

附件：参考链接：https://github.com/apache/shiro/releases；

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7。