JVN iPedia
http://jvndb.jvn.jp
Advisory
JVNDB-2026-017430
Apache Software FoundationのApache Shiroにおける複数の脆弱性
有効なログイン資格情報を持つ場合に、Apache Shiroで信頼されていないサイトへのURLリダイレクト(「オープンリダイレクト」)およびサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が存在します。この問題は、shiro-jakarta-ee統合モジュールを使用している場合に限り、Apache Shiroの2.0-alphaから2.1.0および3.0.0-alpha-1のバージョンに影響します。ユーザーは、この問題を修正しクッキーを暗号化する2.1.1または3.0.0-alpha-2以降のバージョンにアップグレードすることが推奨されます。ログイン成功後、Jakarta EE統合モジュールはshiroSavedRequestクッキーを使用してログイン後に特定のウェブページにリダイレクトします。このクッキーは検証されておらず、不正に作成することによってサーバー自身がクッキーに含まれる任意のURLへHTTP GETリクエストを送信させることが可能です。
cpe:/a:apache:shiro
https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-017430.html
Common Vulnerabilities and Exposures (CVE)
CVE-2026-44598
https://www.cve.org/CVERecord?id=CVE-2026-44598
National Vulnerability Database (NVD)
CVE-2026-44598
https://nvd.nist.gov/vuln/detail/CVE-2026-44598
Apache Shiro
Security Reports | Apache Shiro
https://shiro.apache.org/security-reports.html#cve_2026_44598
JVNDB
CWE-601
オープンリダイレクト
https://cwe.mitre.org/data/definitions/601.html
JVNDB
CWE-918
サーバサイドのリクエストフォージェリ
https://cwe.mitre.org/data/definitions/918.html
Openwall mailing list archives
oss-security - CVE-2026-44598: Apache Shiro Jakarta EE module: Open redirect and SSRF (requires valid credentials)
http://www.openwall.com/lists/oss-security/2026/05/25/8
2026-06-03T15:39:07+09:00
2026-06-03T15:39:07+09:00