Plateforme
java
Composant
pac4j-core
Corrigé dans
5.7.10
6.4.1
5.7.10
PAC4J Core présente une vulnérabilité de type Cross-Site Request Forgery (CSRF). Cette faille permet à un attaquant de créer un site web malveillant capable de soumettre des requêtes forgées, contournant ainsi les mécanismes de protection CSRF. Les versions affectées sont les versions 5.0.0 à 6.4.1 incluses. Une correction est disponible dans la version 6.4.1.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant d'effectuer des actions au nom d'un utilisateur authentifié sans son consentement. Concrètement, cela peut inclure la modification du profil de l'utilisateur, le changement de son mot de passe, ou toute autre action autorisée par l'application utilisant PAC4J Core. Le risque est exacerbé par le fait que l'attaquant n'a pas besoin de connaître le token CSRF de la victime ni son hachage préalable à l'attaque, grâce à l'exploitation des collisions dans la fonction String.hashCode(). Cette faiblesse réduit l'espace de sécurité du token à 32 bits, rendant la protection CSRF inefficace.
Cette vulnérabilité a été rendue publique le 2026-04-17. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de sa présence dans le catalogue KEV de CISA. L'exploitation repose sur la capacité à provoquer des collisions de hachage, une technique connue mais qui nécessite une compréhension approfondie du fonctionnement interne de la bibliothèque PAC4J Core.
Applications utilizing PAC4J Core for authentication and authorization, particularly those handling sensitive user data, are at risk. Shared hosting environments where multiple applications share the same PAC4J Core library are also particularly vulnerable, as a compromise in one application could potentially impact others.
• java / server:
# Check for PAC4J Core version
java -jar your_application.jar | grep "PAC4J Core"• generic web:
# Check for suspicious requests in access logs
grep -i "/your/sensitive/endpoint" access.logdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
La mitigation principale consiste à mettre à jour PAC4J Core vers la version 6.4.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez d'implémenter des mesures de protection CSRF supplémentaires au niveau de l'application, telles que la validation du SameSite cookie. Il est également recommandé de surveiller les logs d'accès pour détecter des requêtes suspectes et d'utiliser un Web Application Firewall (WAF) pour bloquer les requêtes malveillantes. Après la mise à jour, vérifiez que la protection CSRF est correctement implémentée en testant l'application avec des requêtes forgées.
Mettez à jour la bibliothèque PAC4J Core à la version 5.7.10 ou supérieure, ou à la version 6.4.1 ou supérieure. Cette mise à jour corrige une vulnérabilité CSRF qui permet aux attaquants d'effectuer des actions au nom des utilisateurs sans leur consentement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40458 is a Cross-Site Request Forgery (CSRF) vulnerability affecting PAC4J Core versions 5.0.0–6.4.1, allowing attackers to bypass CSRF protection through hash collisions.
You are affected if you are using PAC4J Core versions 5.0.0 through 6.4.1. Verify your version and upgrade if necessary.
Upgrade PAC4J Core to version 6.4.1 or later to resolve the vulnerability. Consider additional CSRF mitigation techniques if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's nature makes it likely to be targeted, so proactive mitigation is recommended.
Refer to the official PAC4J project website and security advisories for the latest information and updates regarding CVE-2026-40458.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.