Lprimak

**Nome do Software Vulnerável e Versões Afetadas** Apache Shiro versões 1.* Apache Shiro versões 2.* até 2.0.6 **Descrição** Existe uma discrepância temporal observável no Apache Shiro. Antes da versão 2.0.7, os caminhos de código utilizados para usuários inexistentes e existentes diferem o suficiente, permitindo que um ataque de força bruta determine se uma solicitação falha devido a um usuário inválido ou senha incorreta ao medir o tempo de resposta. O vetor de ataque mais provável é um ataque local. Este problema está relacionado à enumeração de nomes de usuário, conforme discutido no modelo de segurança do Shiro. Ataques de força bruta geralmente podem ser mitigados no nível de infraestrutura. **Recomendações** Atualize para a versão 2.0.7 do Apache Shiro ou posterior.