Apache Shiro Interpretation Conflict vulnerability

2023-01-1412:30:23

Google

osv.dev

0.004 Low

EPSS

Percentile

72.0%

JSON

When using Apache Shiro before 1.11.0 together with Spring Boot 2.6+, a specially crafted HTTP request may cause an authentication bypass. The authentication bypass occurs when Shiro and Spring Boot are using different pattern-matching techniques. Both Shiro and Spring Boot < 2.6 default to Ant style pattern matching. Mitigation: Update to Apache Shiro 1.11.0, or set the following Spring Boot configuration value: spring.mvc.pathmatch.matching-strategy = ant_path_matcher

CPENameOperatorVersion
org.apache.shiro:shiro-rooteq1.2.4
org.apache.shiro:shiro-rooteq1.3.0
org.apache.shiro:shiro-rooteq1.4.2
org.apache.shiro:shiro-rooteq1.4.0
org.apache.shiro:shiro-rooteq1.5.3
org.apache.shiro:shiro-rooteq1.3.2
org.apache.shiro:shiro-rooteq1.9.0
org.apache.shiro:shiro-rooteq1.2.3
org.apache.shiro:shiro-rooteq1.7.1
org.apache.shiro:shiro-rooteq1.9.1

Name	Operator	Version
org.apache.shiro:shiro-root	eq	1.2.4
org.apache.shiro:shiro-root	eq	1.3.0
org.apache.shiro:shiro-root	eq	1.4.2
org.apache.shiro:shiro-root	eq	1.4.0
org.apache.shiro:shiro-root	eq	1.5.3
org.apache.shiro:shiro-root	eq	1.3.2
org.apache.shiro:shiro-root	eq	1.9.0
org.apache.shiro:shiro-root	eq	1.2.3
org.apache.shiro:shiro-root	eq	1.7.1
org.apache.shiro:shiro-root	eq	1.9.1