6.4.1
PAC4J Core में एक LDAP Injection भेद्यता पाई गई है, जिससे हमलावर LDAP सिंटैक्स को इंजेक्ट करके अनधिकृत LDAP क्वेरी कर सकते हैं। यह भेद्यता PAC4J Core के संस्करण 4.0.0 से 6.4.1 तक के संस्करणों को प्रभावित करती है। इस समस्या को PAC4J संस्करण 4.5.10, 5.7.10 और 6.4.1 में ठीक कर दिया गया है। उपयोगकर्ताओं को तुरंत नवीनतम संस्करण में अपडेट करने की सलाह दी जाती है।
CVE-2026-40459 PAC4J को प्रभावित करता है, जो एक जावा प्रमाणीकरण लाइब्रेरी है। भेद्यता LDAP इंजेक्शन में निहित है, जो कम विशेषाधिकार वाले रिमोट अटैकर को ID-आधारित खोज मापदंडों में दुर्भावनापूर्ण LDAP सिंटैक्स इंजेक्ट करने की अनुमति देता है। इससे अनधिकृत LDAP क्वेरी और निर्देशिका में मनमाना संचालन हो सकता है। संभावित प्रभाव में संवेदनशील जानकारी का खुलासा, डेटा हेरफेर और कुछ मामलों में, सिस्टम समझौता शामिल है। भेद्यता की गंभीरता का मूल्यांकन किया जा रहा है, लेकिन LDAP संसाधनों तक अनधिकृत पहुंच की संभावना के कारण इसे महत्वपूर्ण माना जाता है। इस जोखिम को कम करने के लिए पैच किए गए संस्करण में अपडेट करना महत्वपूर्ण है। इस भेद्यता का शोषण LDAP क्वेरी में सीधे उपयोग किए जाने वाले इनपुट मापदंडों में हेरफेर के माध्यम से किया जाता है, बिना उचित सत्यापन या सैनिटाइजेशन के।
इस भेद्यता का शोषण PAC4J के भीतर LDAP खोजों में उपयोग किए जाने वाले इनपुट मापदंडों में हेरफेर करके किया जाता है। एक हमलावर LDAP फ़िल्टर जैसे दुर्भावनापूर्ण LDAP कोड इंजेक्ट कर सकता है, जिसे LDAP सर्वर पर निष्पादित किया जाएगा। यह हमलावर को उपयोगकर्ताओं को सूचीबद्ध करने, उपयोगकर्ता विशेषताओं को संशोधित करने या LDAP निर्देशिका में संग्रहीत गोपनीय जानकारी तक पहुंचने की अनुमति दे सकता है। शोषण की सफलता LDAP सर्वर के कॉन्फ़िगरेशन और खोज करने वाले उपयोगकर्ता की अनुमतियों पर निर्भर करती है। इनपुट सत्यापन की कमी इस भेद्यता का मुख्य कारण है।
एक्सप्लॉइट स्थिति
EPSS
0.14% (34% शतमक)
CISA SSVC
अनुशंसित समाधान PAC4J के उस संस्करण में तुरंत अपडेट करना है जिसमें फिक्स शामिल है, विशेष रूप से संस्करण 4.5.10, 5.7.10 या 6.4.1। यदि तत्काल अपडेट संभव नहीं है, तो अस्थायी शमन उपायों को लागू करने पर विचार करें, जैसे LDAP सेवाओं तक पहुंच को प्रतिबंधित करना, सख्त एक्सेस नियंत्रण लागू करना और संदिग्ध पैटर्न के लिए LDAP गतिविधि की निगरानी करना। इसके अतिरिक्त, LDAP क्वेरी के असुरक्षित उपयोग के किसी भी उदाहरण की पहचान करने और ठीक करने के लिए कोड की समीक्षा करें। LDAP क्वेरी में उपयोग किए जाने वाले सभी उपयोगकर्ता इनपुट को मान्य और सैनिटाइज करना भविष्य के इंजेक्शन को रोकने के लिए आवश्यक है। संभावित कमजोरियों की पहचान करने और उनका समाधान करने के लिए नियमित प्रवेश परीक्षण की सिफारिश की जाती है।
Actualice la biblioteca PAC4J Core a la versión 4.5.10 o superior, 5.7.10 o superior, o 6.4.1 o superior para mitigar la vulnerabilidad de inyección LDAP. Asegúrese de revisar la documentación de PAC4J para obtener instrucciones de actualización específicas para su entorno. Verifique y sanee las entradas del usuario que se utilizan en las búsquedas LDAP para evitar la inyección de código malicioso.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
LDAP (Lightweight Directory Access Protocol) एक प्रोटोकॉल है जिसका उपयोग निर्देशिका में संग्रहीत जानकारी तक पहुंचने और संशोधित करने के लिए किया जाता है। LDAP निर्देशिकाओं का उपयोग अक्सर नेटवर्क पर प्रमाणीकरण और प्राधिकरण के लिए किया जाता है।
LDAP इंजेक्शन एक प्रकार की सुरक्षा भेद्यता है जो एक हमलावर को LDAP क्वेरी में दुर्भावनापूर्ण LDAP कोड इंजेक्ट करने की अनुमति देती है, जिससे जानकारी तक अनधिकृत पहुंच या डेटा हेरफेर हो सकता है।
यदि आप PAC4J का उपयोग कर रहे हैं, तो जांचें कि आप किस संस्करण का उपयोग कर रहे हैं। यदि यह 4.5.10, 5.7.10 या 6.4.1 से पुराना है, तो आप प्रभावित हैं।
LDAP तक पहुंच को प्रतिबंधित करके और LDAP गतिविधि की निगरानी करके अस्थायी शमन उपायों को लागू करें।
PAC4J के आधिकारिक दस्तावेज़ और CVE-2026-40459 से संबंधित सुरक्षा सलाह देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।