CVE-2026-43828 in Shiroinformación

Resumen

por VulDB • 2026-05-27

Las configuraciones predeterminadas de Apache Shiro envían cookies sensibles en sesiones HTTPS sin el atributo 'Secure'.

Este problema afecta a Apache Shiro desde la versión 1.0 hasta la 2.1.0, y la 3.0.0-alpha-1.

Se recomienda a los usuarios actualizar a la versión 2.1.1, o a la 3.0.0-alpha-2 o posterior, que corrigen el problema.

En las versiones afectadas, el gestor de sesiones nativo de Shiro, así como el gestor de Remember-Me, envían las cookies JSESSIONID y rememberMe sin el atributo 'secure' por defecto.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Apache

Reservar

2026-05-03

Divulgación

2026-05-26

Moderación

aceptado

Artículo

VDB-365562

CPE

listo

CWE

CWE-614 (confirmado)

CVSS

6.5 (NVD)

EPSS

0.00024

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43828
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43828
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43828/

◂ Anterior Visión De Conjunto Próximo ▸

Might our Artificial Intelligence support you?

Check our Alexa App!