PAC4J में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है

यह CSRF भेद्यता हमलावरों को उपयोगकर्ता की जानकारी चोरी करने या अनधिकृत कार्रवाई करने की अनुमति देती है, जैसे कि प्रोफाइल अपडेट करना या पासवर्ड बदलना। हमलावर को उपयोगकर्ता के CSRF टोकन को जानने की आवश्यकता नहीं है; वे String.hashCode() फ़ंक्शन में टकरावों का उपयोग करके CSRF सुरक्षा को बायपास कर सकते हैं। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो उपयोगकर्ता प्रमाणीकरण और प्राधिकरण के लिए PAC4J Core पर निर्भर करते हैं। हमलावर आसानी से दुर्भावनापूर्ण वेबसाइट बना सकते हैं जो उपयोगकर्ता को अनजाने में अनधिकृत कार्रवाई करने के लिए प्रेरित करती है।

Applications utilizing PAC4J Core for authentication and authorization, particularly those handling sensitive user data, are at risk. Shared hosting environments where multiple applications share the same PAC4J Core library are also particularly vulnerable, as a compromise in one application could potentially impact others.

• java / server:

# Check for PAC4J Core version
java -jar your_application.jar | grep "PAC4J Core"

• generic web:

# Check for suspicious requests in access logs
grep -i "/your/sensitive/endpoint" access.log

1. 2026-04-17Disclosure

   disclosure

1. आरक्षित2026-04-13
2. प्रकाशित2026-04-17
3. EPSS अद्यतन2026-04-25

PAC4J Core के संस्करण 6.4.1 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड संभव नहीं है, तो CSRF सुरक्षा को मजबूत करने के लिए अतिरिक्त उपाय किए जा सकते हैं, जैसे कि टोकन को अधिक सुरक्षित बनाने के लिए मजबूत हैशिंग एल्गोरिदम का उपयोग करना और सर्वर-साइड सत्यापन जोड़ना। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को ब्लॉक करने के लिए भी किया जा सकता है।