CVE-2026-44598 in Shiro信息

摘要

由 VulDB • 2026-05-25

存在有效的登录凭据时,Apache Shiro 中存在 URL 重定向到不受信任站点(“开放重定向”)和服务端请求伪造(SSRF)漏洞。

此问题影响 Apache Shiro 2.0-alpha 至 2.1.0 版本,以及 3.0.0-alpha-1 版本,但仅在使用 shiro-jakarta-ee 集成模块时受影响。

建议用户升级至 2.1.1 或 3.0.0-alpha-2 及更高版本,这些版本通过加密 cookie 修复了该问题。

成功登录后,Jakarta EE 集成模块使用 shiroSavedRequest cookie 在登录后重定向到特定网页。该 cookie 未经过验证,可被伪造以从服务器本身向 cookie 中的任意 URL 发送 HTTP GET 请求。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Apache

预定

2026-05-07

披露

2026-05-26

管理

已接受

条目

VDB-365564

EPSS

0.00119

KEV

活动

非常低

来源

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44598
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44598
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44598/

上一步一览下一步

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!