近日，我司监测到Apache发布安全公告，修复了一个存在于Apache Shiro中的身份认证绕过漏洞，当将 1.11.0版本前的Apache Shiro与大于2.6版本的Spring Boot一起使用，且Apache Shiro和Spring Boot使用不同的路径匹配模式时，攻击者可以通过精心构造的 HTTP 请求可实现身份验证绕过。

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。

影响版本:

• Apache Shiro < 1.11.0

安全版本:

• Apache Shiro >= 1.11.0

修复建议：

官方已经针对漏洞发布了版本更新，下载地址如下：

https://shiro.apache.org/download.html