Plateforme
java
Composant
pac4j-core
Corrigé dans
4.5.10
5.7.10
6.4.1
PAC4J Core présente une vulnérabilité d'injection LDAP dans plusieurs méthodes, permettant à un attaquant d'injecter du code LDAP malveillant dans les paramètres de recherche basés sur l'ID. Cette injection peut entraîner des requêtes LDAP non autorisées et des opérations arbitraires sur l'annuaire. Cette vulnérabilité affecte les versions 4.0.0 à 6.4.1 de PAC4J Core. Une correction a été déployée dans les versions 4.5.10, 5.7.10 et 6.4.1.
La vulnérabilité CVE-2026-40459 affecte PAC4J, une bibliothèque d'authentification Java. Elle réside dans une injection LDAP, permettant à un attaquant distant à faible privilège d'injecter une syntaxe LDAP malveillante dans les paramètres de recherche basés sur l'ID. Cela peut entraîner des requêtes LDAP non autorisées et des opérations arbitraires sur l'annuaire. L'impact potentiel comprend l'exposition d'informations sensibles, la manipulation de données et, dans certains cas, la compromission du système. La gravité de la vulnérabilité est en cours d'évaluation, mais elle est considérée comme significative en raison de la possibilité d'un accès non autorisé aux ressources LDAP. Il est crucial de mettre à jour vers une version corrigée pour atténuer ce risque. La vulnérabilité est exploitée par la manipulation des paramètres d'entrée qui sont utilisés directement dans les requêtes LDAP sans validation ni assainissement appropriés.
La vulnérabilité est exploitée en manipulant les paramètres d'entrée utilisés dans les recherches LDAP au sein de PAC4J. Un attaquant peut injecter du code LDAP malveillant, tel que des filtres LDAP, qui seront exécutés sur le serveur LDAP. Cela peut permettre à l'attaquant d'énumérer les utilisateurs, de modifier les attributs des utilisateurs ou même d'obtenir un accès à des informations confidentielles stockées dans l'annuaire LDAP. Le succès de l'exploitation dépend de la configuration du serveur LDAP et des autorisations de l'utilisateur effectuant la recherche. L'absence de validation d'entrée est la cause principale de cette vulnérabilité.
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
CISA SSVC
La solution recommandée est de mettre à jour immédiatement vers une version de PAC4J qui inclut la correction, notamment les versions 4.5.10, 5.7.10 ou 6.4.1. Si une mise à jour n'est pas immédiatement possible, envisagez de mettre en œuvre des mesures d'atténuation temporaires, telles que la restriction de l'accès aux services LDAP, l'application de contrôles d'accès stricts et la surveillance de l'activité LDAP à la recherche de schémas suspects. De plus, examinez le code pour identifier et corriger toute instance d'utilisation non sécurisée des requêtes LDAP. La validation et l'assainissement de toutes les entrées utilisateur utilisées dans les requêtes LDAP sont essentiels pour prévenir de futures injections. Des tests d'intrusion réguliers sont recommandés pour identifier et traiter les vulnérabilités potentielles.
Actualice la biblioteca PAC4J Core a la versión 4.5.10 o superior, 5.7.10 o superior, o 6.4.1 o superior para mitigar la vulnerabilidad de inyección LDAP. Asegúrese de revisar la documentación de PAC4J para obtener instrucciones de actualización específicas para su entorno. Verifique y sanee las entradas del usuario que se utilizan en las búsquedas LDAP para evitar la inyección de código malicioso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
LDAP (Lightweight Directory Access Protocol) est un protocole pour accéder et modifier les informations stockées dans un annuaire. Les annuaires LDAP sont couramment utilisés pour l'authentification et l'autorisation sur les réseaux.
L'injection LDAP est un type de vulnérabilité de sécurité qui permet à un attaquant d'injecter du code LDAP malveillant dans une requête LDAP, ce qui peut entraîner un accès non autorisé aux informations ou une manipulation des données.
Si vous utilisez PAC4J, vérifiez la version que vous utilisez. Si elle est antérieure à 4.5.10, 5.7.10 ou 6.4.1, vous êtes vulnérable.
Mettez en œuvre des mesures d'atténuation temporaires, telles que la restriction de l'accès à LDAP et la surveillance de l'activité LDAP.
Consultez la documentation officielle de PAC4J et les avis de sécurité relatifs au CVE-2026-40459.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.