【漏洞情报】Apache Shiro 多个安全漏洞通告
【情报名称】:Apache Shiro 多个安全漏洞通告
【漏洞编号】:CVE-2026-23903,CVE-2026-23901
【情报等级】:中危
【漏洞描述】:近日,Apache 发布了安全公告,修复了存在的安全漏洞,漏洞编号:CVE-2026-23903、CVE-2026-23901。
Apache Shiro 是一个 Java 安全框架,提供了身份验证,授权,加密和会话管理等安全功能。
CVE-2026-23903 Apache Shiro 大小写不敏感文件系统静态文件访问绕过漏洞
漏洞类型:访问控制绕过
漏洞等级:中危
漏洞详情:当 Apache Shiro 在大小写不敏感的文件系统(如默认的 macOS 文件系统)上部署时,攻击者可以通过修改请求中文件名的大小写来绕过 Shiro 的安全过滤器,直接访问受保护的静态文件。
远程利用:是
POC 状态:未公开
在野利用状态:未发现
漏洞细节:未公开
利用复杂度:未知
CVE-2026-23901 Apache Shiro 基于时间的用户枚举攻击漏洞
漏洞类型:访问控制绕过
漏洞等级:低危
漏洞详情:由于不存在的用户与现有用户的认证处理代码路径存在差异,攻击者可以通过精确测量请求响应时间来判断目标用户是否存在,从而实现用户枚举攻击。
远程利用:否
POC 状态:未公开
在野利用状态:未发现
漏洞细节:未公开
利用复杂度:未知
【受影响产品】:影响版本:
- Apache Shiro < 2.1.0
非影响版本: - Apache Shiro ≥ 2.1.0
【解决方案与修复建议】:1、目前官方已发布相关安全版本,受影响用户可及时下载更新。
https://github.com/apache/shiro/tags
你不会是新的机器人吧???