Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilité critique dans Apache Shiro

Score CVSS :
9.1
Date de publication :
22/6/2026
Date de dernière mise à jour :
22/6/2026
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• Apache Shiro en version 2.2.0 et antérieures

• Apache Shiro en version 3.0.0-alpha-1 et antérieures dans la branche 3.0.0-alpha

Prérequis

• Accès réseau à l'application web protégée par Apache Shiro avec DefaultLdapRealm configuré

Risques

• Contournement de l’authentification

• Usurpation d’identité

• Exfiltration de données sensibles

Résumé

Une vulnérabilité critique de type "Injection LDAP" affectant le framework Apache Shiro a été publiée par l'Apache Software Foundation le 17 juin 2026.

Le niveau de criticité initial de cette vulnérabilité est de 9.1 (score CVSSv3.1).

Apache Shiro est un framework de sécurité Java largement déployé qui gère l'authentification, l'autorisation et la gestion de sessions pour les applications web.

CVE-2026-49268 : Une vulnérabilité dans la classe DefaultLdapRealm d'Apache Shiro permettrait à un attaquant distant non authentifié de contourner l'authentification ou d'usurper l'identité d'un utilisateur légitime. L'entrée utilisateur du champ username est directement concaténée dans le template du Distinguished Name (DN) LDAP sans échappement des caractères spéciaux. L'attaquant n'a pas besoin d'identifiants valides pour exploiter cette vulnérabilité.

Une fois la vulnérabilité exploitée, l'attaquant dispose d'un accès authentifié à l'application cible avec les droits du compte usurpé. L'exploitation de cette CVE pourrait permettre à l'attaquant d'accéder à l'ensemble des fonctionnalités de l'application, d'exfiltrer des données sensibles accessibles via le compte usurpé, et de pivoter vers d'autres ressources internes selon les droits associés.

À l'heure actuelle, aucune trace d'exploitation par des groupes d'attaquants ou d'exploit public n'a été remontée.

Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre pour toute application exposée sur Internet.

Solutions

Détection de la compromission :

Afin de vérifier si une application est compromise, vous pouvez :

• Auditer les logs d'authentification de l'application pour identifier des connexions réussies depuis des adresses IP inattendues ou à des horaires inhabituels.

• Rechercher dans les logs LDAP des requêtes DN contenant des caractères spéciaux RFC 2253 (#, +, ,, ;, <, >, \, ") dans le champ correspondant au nom d'utilisateur.

• Vérifier les sessions actives sur l'application pour des comptes dont les titulaires n'auraient pas initié de connexion.

Aucun indicateur de compromission public n'est disponible à l'heure de l'émission de ce bulletin.

Remédiation :

Mettre à jour Apache Shiro vers les versions :

• 2.2.1

• 3.0.0-alpha-2

Le détail est disponible dans les liens en références.

Mitigation

Supprimer l’utilisation de DefaultLdapRealm

Références

https://lists.apache.org/thread/svszql3od8td7hn6conyj2oq70v53b5s

https://nvd.nist.gov/vuln/detail/CVE-2026-49268

http://www.openwall.com/lists/oss-security/2026/06/17/8

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
Nos offresNos ExpertisesLe groupe Constellation
Notre équipeNous rejoindreBlog
Urgences CyberInformations SOCCommander un Test d'Intrusion
Conditions Générales de VentesMentions légalesNous contacter
©2024 Login Sécurité | Mentions légales et Politique de confidentialité