CVE-2026-23901

Nome do Software Vulnerável e Versões Afetadas Apache Shiro versões 1.* Apache Shiro versões 2.* até 2.0.6

Descrição Existe uma discrepância temporal observável no Apache Shiro. Antes da versão 2.0.7, os caminhos de código utilizados para usuários inexistentes e existentes diferem o suficiente, permitindo que um ataque de força bruta determine se uma solicitação falha devido a um usuário inválido ou senha incorreta ao medir o tempo de resposta. O vetor de ataque mais provável é um ataque local. Este problema está relacionado à enumeração de nomes de usuário, conforme discutido no modelo de segurança do Shiro. Ataques de força bruta geralmente podem ser mitigados no nível de infraestrutura.

Recomendações Atualize para a versão 2.0.7 do Apache Shiro ou posterior.