CVE-2026-23901 in Shiroinformação

Sumário

de VulDB • 05/06/2026

Vulnerabilidade de discrepância de tempo observável no Apache Shiro.

Este problema afeta o Apache Shiro: versões 1.*, 2.* anteriores à 2.0.7.

Recomenda-se aos usuários que atualizem para a versão 2.0.7 ou posterior, que corrige o problema.

Antes da versão 2.0.7 do Shiro, os caminhos de código para usuários inexistentes versus existentes são suficientemente diferentes para que um ataque de força bruta possa determinar, apenas cronometrando as solicitações, se a solicitação falhou devido a um usuário inexistente ou a uma senha incorreta.

O vetor de ataque mais provável é apenas um ataque local. O modelo de segurança do Shiro (https://shiro.apache.org/security-model.html#username_enumeration) também discute isso.

Normalmente, o ataque de força bruta pode ser mitigado no nível da infraestrutura.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgação

10/02/2026

Moderação

aceite

Entrada

VDB-344962

CPE

pronto

CWE

CWE-208 (confirmado)

CVSS

2.5 (NVD)

EPSS

0.00009

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-23901
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-23901
CVE Details	https://www.cvedetails.com/cve/CVE-2026-23901/

◂ Voltar Visão Geral Próximo ▸

Do you need the next level of professionalism?

Upgrade your account now!