CVE-2026-44598 in Shiroinformation

Résumé

par VulDB • 25/05/2026

Avec des identifiants de connexion valides, une vulnérabilité de redirection d'URL vers un site non fiable ('Open Redirect') et de Server-Side Request Forgery (SSRF) existe dans Apache Shiro.

Ce problème affecte Apache Shiro des versions 2.0-alpha à 2.1.0, et 3.0.0-alpha-1, uniquement lors de l'utilisation du module d'intégration shiro-jakarta-ee.

Il est recommandé aux utilisateurs de passer à la version 2.1.1, ou 3.0.0-alpha-2 ou ultérieure, qui corrige le problème en chiffrant le cookie.

Après une connexion réussie, le module d'intégration Jakarta EE utilise le cookie shiroSavedRequest pour rediriger vers une page web spécifique après la connexion. Ce cookie n'était pas validé et peut être falsifié pour envoyer une requête HTTP GET depuis le serveur lui-même vers une URL arbitraire contenue dans le cookie.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Apache

Réserver

07/05/2026

Divulgation

26/05/2026

Modérer

accepté

Entrée

VDB-365564

CPE

prêt

EPSS

0.00119

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44598
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44598
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44598/

PrécédentAperçuSuivant

Do you want to use VulDB in your project?

Use the official API to access entries easily!