CVE-2026-44598 in Shiro
要約
〜によって VulDB • 2026年05月25日
有効なログイン資格情報を使用して、Apache Shiroにおける「信頼できないサイトへのURLリダイレクト(Open Redirect)」および「サーバーサイドリクエストフォージェリ(SSRF)」の脆弱性を悪用できます。
この問題は、shiro-jakarta-ee統合モジュールを使用している場合、Apache Shiroの2.0-alphaから2.1.0、および3.0.0-alpha-1に影響します。
ユーザーには、クッキーの暗号化により本問題を修正したバージョン2.1.1、または3.0.0-alpha-2以降へのアップグレードを推奨します。
ログインに成功した後、Jakarta EE統合モジュールは、ログイン後に特定のWebページへリダイレクトするためにshiroSavedRequestクッキーを使用します。このクッキーは検証されておらず、クッキー内の任意のURLに対してサーバー自身からHTTP GETリクエストを送信するために偽造可能です。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.