Apache - CVE-2026-49268
Date de publication :
Il s'agit d'une vulnérabilité d'injection LDAP dans la classe DefaultLdapRealm d'Apache Shiro.
Apache Shiro est un framework de sécurité Java open source destiné à la gestion de l'authentification, des autorisations, de la cryptographie et de la gestion de session dans les applications Java.
Le nom d'utilisateur fourni est directement concaténé dans le template de Distinguished Name (DN) sans échappement des caractères spéciaux RFC 2253, permettant à un attaquant de manipuler la structure du bind d'authentification LDAP.
Elle permet à un attaquant distant non authentifié de contourner l'authentification ou d'usurper l'identité d'utilisateurs légitimes de l'annuaire.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-90 : Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Apache Shiro (shiro-core) versions antérieures à 2.2.1
• Apache Shiro (shiro-core) version 3.0.0-alpha-1 et antérieures dans la branche 3.0.0-alpha
Solutions ou recommandations
• Apache Shiro version 3.0.0-alpha-2 et supérieures