Vulnerabilities ›

CVE-2026-48589

Medium

CWE-601 — Weakness Type

                    Published: May 25, 2026                      ·  Modified: May 28, 2026                      ·  Source: NVD                

CVSS v3

5.4

🔗 NVD Official

📄 Description (English)

Apache Shiro’s Jakarta EE module used the HTTP Referer header in certain cases to issue redirect after a user login.
In affected versions, insufficient validation of this client-controlled value could allow an attacker to influence the redirect target in applications using the Jakarta EE module.
This issue affects Apache Shiro from 2.0-alpha to 2.2.0, and 3.0.0-alpha-1, only when using shiro-jakarta-ee integration module.

🤖 AI Executive Summary

Apache Shiro's Jakarta EE module improperly validates the HTTP Referer header when redirecting users after login, allowing attackers to redirect users to malicious sites. This open redirect vulnerability affects Shiro versions 2.0-alpha through 2.2.0 and 3.0.0-alpha-1 when using the Jakarta EE integration module.

📄 Description (Arabic)

تحتوي وحدة Jakarta EE في Apache Shiro على ثغرة إعادة توجيه مفتوحة حيث يتم استخدام رأس HTTP Referer الذي يتحكم به العميل لتحديد هدف إعادة التوجيه بعد تسجيل الدخول دون التحقق الكافي. يمكن للمهاجمين استغلال هذه الثغرة لإعادة توجيه المستخدمين إلى مواقع ويب ضارة أو خادعة. تؤثر هذه المشكلة على الإصدارات من 2.0-alpha إلى 2.2.0 و3.0.0-alpha-1 عند استخدام وحدة التكامل Jakarta EE.

🤖 ملخص تنفيذي (AI)

🤖 AI Intelligence Analysis Analyzed: May 28, 2026 23:58

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking government telecom healthcare

🎯 MITRE ATT&CK Techniques

T1598.003 T1566.002 T1598.000

⚖️ Saudi Risk Score (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Apache Shiro to version 2.2.1 or later, or 3.0.0 or later if using version 3.x. Implement strict validation of redirect targets by using allowlist-based URL validation. Disable or restrict the use of the Referer header for redirect decisions. Apply Web Application Firewall rules to detect and block open redirect attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية Apache Shiro إلى الإصدار 2.2.1 أو أحدث، أو 3.0.0 أو أحدث إذا كنت تستخدم الإصدار 3.x. قم بتطبيق التحقق الصارم من أهداف إعادة التوجيه باستخدام التحقق من قائمة بيضاء. قم بتعطيل أو تقييد استخدام رأس Referer لقرارات إعادة التوجيه. طبق قواعد جدار الحماية لتطبيقات الويب لكشف ومنع محاولات إعادة التوجيه المفتوحة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-3 AC-4 SI-10

🟡 ISO 27001:2022

A.6.1.1 A.13.1.1 A.13.2.1

🔗 References & Sources 2

🔗

https://shiro.apache.org/security-reports.html#cve_2026_48589

security@apache.org

Vendor Advisory

🔗

http://www.openwall.com/lists/oss-security/2026/05/25/9

af854a3a-2127-422b-91ae-364da2661108

Mailing List Third Party Advisory

📦 Affected Products / CPE 2 entries

apache:shiro

apache:shiro:3.0.0

📊 CVSS Score

5.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.4

CWECWE-601

EPSS0.04%

Exploit No

Patch ✗ No

Published 2026-05-25

Source Feed nvd

🇸🇦 Saudi Risk Score

5.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-601

🏢 Vendor Advisories

🔗 https://shiro.apache.org/security-reports.html#cve_2...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-48589

Introduce Yourself

Sign In Required