CVE-2026-56091
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
Podatność w Apache Shiro z modułem shiro-guice w kontekście serwletu webowego może prowadzić do obejścia uwierzytelniania poprzez specjalnie skonstruowane żądanie HTTP. Dotyczy to wszystkich wersji Apache Shiro do 2.x oraz 3.0.0-alpha-1 przy użyciu modułu shiro-guice.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do zasobów, co może prowadzić do poważnych naruszeń bezpieczeństwa. Wykorzystanie tej podatności może skutkować utratą danych lub nieautoryzowanym dostępem do systemów.
Rekomendacja
Zaleca się aktualizację do wersji 3.0.0 lub nowszej, która naprawia tę podatność. Należy również przeprowadzić audyt istniejących implementacji w celu identyfikacji potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
When using Apache Shiro with the shiro-guice module in a web servlet context, a specially crafted HTTP request may cause an authentication bypass. This vulnerability is similar to https://www.cve.org/CVERecord?id=CVE-2020-1957 https://www.cve.org/CVERecord , except that it affects the `shiro-guice` module instead of the `shiro-spring` module. This issue affects all Apache Shiro versions through 2.x, and 3.0.0-alpha-1 only when using `shiro-guice` module in a web servlet context. Upgrade to version 3.0.0 or later, which fixes the issue.

