الثغرات ›

CVE-2026-48589

متوسط

CWE-601 — نوع الضعف

                    نُشر: May 25, 2026                      ·  آخر تحديث: May 28, 2026                      ·  المصدر: NVD                

CVSS v3

5.4

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Apache Shiro’s Jakarta EE module used the HTTP Referer header in certain cases to issue redirect after a user login.
In affected versions, insufficient validation of this client-controlled value could allow an attacker to influence the redirect target in applications using the Jakarta EE module.
This issue affects Apache Shiro from 2.0-alpha to 2.2.0, and 3.0.0-alpha-1, only when using shiro-jakarta-ee integration module.

🤖 ملخص AI

Apache Shiro's Jakarta EE module improperly validates the HTTP Referer header when redirecting users after login, allowing attackers to redirect users to malicious sites. This open redirect vulnerability affects Shiro versions 2.0-alpha through 2.2.0 and 3.0.0-alpha-1 when using the Jakarta EE integration module.

📄 الوصف (العربية)

تحتوي وحدة Jakarta EE في Apache Shiro على ثغرة إعادة توجيه مفتوحة حيث يتم استخدام رأس HTTP Referer الذي يتحكم به العميل لتحديد هدف إعادة التوجيه بعد تسجيل الدخول دون التحقق الكافي. يمكن للمهاجمين استغلال هذه الثغرة لإعادة توجيه المستخدمين إلى مواقع ويب ضارة أو خادعة. تؤثر هذه المشكلة على الإصدارات من 2.0-alpha إلى 2.2.0 و3.0.0-alpha-1 عند استخدام وحدة التكامل Jakarta EE.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 28, 2026 23:58

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking government telecom healthcare

🎯 تقنيات MITRE ATT&CK

T1598.003 T1566.002 T1598.000

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Apache Shiro to version 2.2.1 or later, or 3.0.0 or later if using version 3.x. Implement strict validation of redirect targets by using allowlist-based URL validation. Disable or restrict the use of the Referer header for redirect decisions. Apply Web Application Firewall rules to detect and block open redirect attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية Apache Shiro إلى الإصدار 2.2.1 أو أحدث، أو 3.0.0 أو أحدث إذا كنت تستخدم الإصدار 3.x. قم بتطبيق التحقق الصارم من أهداف إعادة التوجيه باستخدام التحقق من قائمة بيضاء. قم بتعطيل أو تقييد استخدام رأس Referer لقرارات إعادة التوجيه. طبق قواعد جدار الحماية لتطبيقات الويب لكشف ومنع محاولات إعادة التوجيه المفتوحة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-3 AC-4 SI-10

🟡 ISO 27001:2022

A.6.1.1 A.13.1.1 A.13.2.1

🔗 المراجع والمصادر 2

🔗

https://shiro.apache.org/security-reports.html#cve_2026_48589

security@apache.org

Vendor Advisory

🔗

http://www.openwall.com/lists/oss-security/2026/05/25/9

af854a3a-2127-422b-91ae-364da2661108

Mailing List Third Party Advisory

📦 المنتجات المتأثرة 2 منتج

apache:shiro

apache:shiro:3.0.0

📊 CVSS Score

5.4

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.4

CWECWE-601

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-25

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-601

🏢 توجيهات البائع

🔗 https://shiro.apache.org/security-reports.html#cve_2...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-48589

عرّفنا بنفسك

تسجيل الدخول مطلوب