Vulnerabilidad en Apache Shiro (CVE-2026-23903)

Vulnerabilidad de omisión de autenticación por nombre alternativo en Apache Shiro.<br /> <br /> Este problema afecta a Apache Shiro: antes de la versión 2.0.7.<br /> <br /> Se recomienda a los usuarios actualizar a la versión 2.0.7, que soluciona el problema.<br /> <br /> El problema solo afecta a los archivos estáticos. Si los archivos estáticos se sirven desde un sistema de archivos que no distingue entre mayúsculas y minúsculas, como la configuración predeterminada de macOS, se puede acceder a los archivos estáticos variando el uso de mayúsculas y minúsculas del nombre de archivo en la solicitud. Si solo hay filtros en minúsculas (valor predeterminado común) en Shiro, pueden ser omitidos de esta manera.<br /> <br /> Shiro 2.0.7 y versiones posteriores tienen nuevos parámetros para solucionar este problema<br /> shiro.ini: filterChainResolver.caseInsensitive = true<br /> application.propertie: shiro.caseInsensitive=true<br /> <br /> Shiro 3.0.0 y versiones posteriores (próximas) lo convierten en el valor predeterminado.