PT-2026-43121 · Apache+1 · Apache Shiro+1
Bartlomiej Dmitruk
·
Publicado
2026-05-25
·
Atualizado
2026-05-25
·
CVE-2026-48589
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Apache Shiro versões 2.0-alpha até 2.2.0
Apache Shiro versão 3.0.0-alpha-1
Description
O módulo Jakarta EE no Apache Shiro utiliza o cabeçalho HTTP Referer para emitir redirecionamentos após o login do usuário. A validação insuficiente deste valor controlado pelo cliente permite que um invasor influencie o destino do redirecionamento em aplicações que utilizam o módulo de integração
shiro-jakarta-ee.Recommendations
Atualize as versões 2.0-alpha até 2.2.0 do Apache Shiro para uma versão corrigida.
Atualize a versão 3.0.0-alpha-1 do Apache Shiro para uma versão corrigida.
Restrinja o uso do módulo de integração
shiro-jakarta-ee como uma mitigação temporária.Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Shiro
Shiro