【漏洞通告】Apache Shiro 目录穿越漏洞（CVE-2023-34478）





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

美创AI灾备专家：引领灾备领域迈入“智能化”时代

2025-12-15

热点观察｜美创科技丁斐：数据安全 × 价值共创？可信数据空间的 “双向奔赴”

2025-12-03

美创科技高校供应链数据安全方案斩获 2025 年度 “金智奖”

2025-12-03

每周安全速递³⁶⁷ | ShinyHunters 开发新型勒索软件ShinySp1d3r

2025-11-21

数安标杆｜美创荣登2025中国准独角兽企业100强

2025-11-17

每周安全速递³⁶⁹ | 安卓勒索软件DroidLock针对西班牙语言用户进行攻击

2025-12-15

每周安全速递³⁶⁸ | 美国电信与汽车服务巨头遭Cl0p勒索攻击

2025-12-05

每周安全速递³⁶⁷ | ShinyHunters 开发新型勒索软件ShinySp1d3r

2025-11-21

AI大模型+N8N工作流的自动化安全测试流程初探

2025-11-17

每周安全速递³⁶⁶ | Cephalus组织通过RDP部署勒索软件

2025-11-17

【漏洞通告】Apache Shiro 目录穿越漏洞（CVE-2023-34478）

发布时间：2023-07-28 作者：第59号实验室阅读次数： 1797 次

漏洞描述

Apache Shiro是一个强大灵活的Java安全框架，提供了认证、授权、会话管理和安全加密等功能，对于任何一个应用程序，Shiro都可以提供全面的安全管理服务、更易于理解的API。

美创安全实验室监测到Apache发布了Shiro的风险通告，漏洞编号：CVE-2023-34478，漏洞等级：高危。当Shiro在API或基于非规范化路由请求的Web框架中使用时，攻击者可能利用此漏洞，通过构造特殊的HTTP请求绕过身份验证。

影响范围

影响版本：
Apache Shiro < 1.12.0
Apache Shiro < 2.0.0-alpha-3

处置建议

目前，Apache Shiro官方已发布漏洞修复版本，建议受影响的用户建议更新至安全版本：
Apache Shiro >= 1.12.0
Apache Shiro >= 2.0.0-alpha-3

下载链接：
https://shiro.apache.org/download.html

上一条：每周安全速递²⁶⁹|MikroTik路由器存在权限提升漏洞
下一条：nginxWebUI 3.6.5版本审计与绕过