CVE-2026-56130
NiskieCVSS 2.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Podatność w Apache Shiro polega na braku weryfikacji wieku ciasteczka 'Remember me' po stronie serwera. Umożliwia to atakującemu przechwycenie ważnego ciasteczka i jego nieograniczone ponowne wykorzystanie, nawet po upływie skonfigurowanego czasu wygaśnięcia. Problem dotyczy wersji od 1.2.4 do 2.x oraz 3.0.0-alpha-1, gdy włączona jest funkcja RememberMe.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego dostępu do systemu przez atakującego, który przechwycił ciasteczko sesyjne. Ponieważ serwer nie sprawdza jego ważności czasowej, atakujący może utrzymywać dostęp bezterminowo, omijając mechanizmy kontroli sesji.
Rekomendacja
Należy niezwłocznie zaktualizować Apache Shiro do wersji 3.0.0 lub nowszej, która eliminuje tę podatność. Do czasu aktualizacji zaleca się wyłączenie funkcji RememberMe, jeśli nie jest krytyczna dla działania aplikacji.
Oryginalny opis (angielski, źródło NVD)
"Remember me" cookie age is not verified on the server. This potentially allows an attacker to intercept a valid cookie and reuse it indefinitely, even after the configured expiration time has passed. This issue affects all Apache Shiro versions from 1.2.4 through 2.x, and 3.0.0-alpha-1, only when RememberMe functionality is enabled. Upgrade to version 3.0.0 or later, which fixes the issue.

