Vulnerabilidad de evasión de autenticación en Apache Shiro 

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a varias versiones de Apache Shiro, que permitiría a un atacante obtener acceso no autorizado al sistema. 

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a varias versiones de Apache Shiro, que permitiría a un atacante obtener acceso no autorizado al sistema. 

La vulnerabilidad CVE-2022-32532, con severidad alta y sin puntuación asignada aún. Esta vulnerabilidad se debe un error de configuración en la clase RegExPatternMatcher al procesar expresiones regulares con el caracter ‘.’, utilizado por aplicaciones ejecutadas en Apache Shiro. Esto permitiría a un atacante remoto enviar solicitudes HTTP especialmente diseñadas para evadir la autenticación y obtener acceso no autorizado al sistema afectado. 

 La vulnerabilidad está presente en versiones anteriores a: 

• Apache Shiro, versión 1.9.1. 

Se recomienda actualizar a la versión superior a 1.9.0 

• https://shiro.apache.org/download.html 

Referencias: 

• https://twitter.com/Dinosn/status/1542104485018861570?cxt=HHwWhICwwfr20-YqAAAA 
• https://securityonline.info/cve-2022-32532-apache-shiro-authentication-bypass-vulnerability/ 

• https://shiro.apache.org/download.html 
• https://nvd.nist.gov/vuln/detail/CVE-2022-32532