MEDIUMCVE-2026-40458

PAC4J には Cross-Site Request Forgery (CSRF) の脆弱性が存在します

プラットフォーム

java

コンポーネント

pac4j-core

修正版

5.7.10

6.4.1

5.7.10

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

PAC4J Core にクロスサイトリクエストフォージェリ (CSRF) の脆弱性が発見されました。この脆弱性は、攻撃者が正規の CSRF トークンをバイパスし、ユーザーのプロファイル更新やパスワード変更などの不正な操作を実行することを可能にします。影響を受けるバージョンは 5.0.0 から 6.4.1 までです。バージョン 6.4.1 へのアップグレードでこの問題は修正されています。

影響と攻撃シナリオ

この CSRF 脆弱性を悪用されると、攻撃者はユーザーが意図しない操作を実行させることが可能になります。例えば、攻撃者はユーザーのプロファイルを改ざんしたり、パスワードを変更したり、その他の機密情報を盗み出す可能性があります。攻撃者は、ユーザーが訪問する悪意のあるウェブサイトを作成し、そのサイトが自動的に不正なリクエストを送信するように設計することで、この脆弱性を悪用できます。この攻撃は、ユーザーが正規の CSRF トークンを知らなくても実行できるため、特に危険です。String.hashCode() 関数の決定論的なハッシュ衝突を計算することで、トークンのセキュリティ空間を効果的に 32 ビットに縮小し、CSRF 保護を回避します。

悪用の状況

この脆弱性は、PAC4J Core を使用している Java アプリケーションに影響を与えます。現時点では、この脆弱性を悪用する公開されている PoC (Proof of Concept) は確認されていませんが、CSRF は一般的な攻撃手法であり、悪用される可能性は否定できません。CISA KEV カタログへの登録状況は不明です。NVD (National Vulnerability Database) および関連するセキュリティコミュニティの情報を常に監視し、最新の脅威情報に注意を払う必要があります。

リスク対象者翻訳中…

Applications utilizing PAC4J Core for authentication and authorization, particularly those handling sensitive user data, are at risk. Shared hosting environments where multiple applications share the same PAC4J Core library are also particularly vulnerable, as a compromise in one application could potentially impact others.

検出手順翻訳中…

• java / server:

# Check for PAC4J Core version
java -jar your_application.jar | grep "PAC4J Core"

• generic web:

# Check for suspicious requests in access logs
grep -i "/your/sensitive/endpoint" access.log

攻撃タイムライン

2026-04-17Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート2 件の脅威レポート

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントpac4j-core

ベンダーPAC4J

影響範囲修正版

5.0 – 5.7.105.7.10

6.0 – 6.4.16.4.1

—5.7.10

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2026-04-13
公開日2026-04-17
EPSS 更新日2026-04-25

緩和策と回避策

この脆弱性への対応策として、PAC4J Core をバージョン 6.4.1 にアップグレードすることを強く推奨します。アップグレードがシステムに影響を与える場合は、一時的な回避策として、WAF (Web Application Firewall) を導入し、CSRF 攻撃を検出し、ブロックするように設定してください。また、アプリケーションの入力検証を強化し、信頼できないソースからのリクエストを検証することで、CSRF 攻撃のリスクを軽減できます。アップグレード後、CSRF 保護が正しく機能していることを確認するために、テストを実施してください。

修正方法

PAC4J Core ライブラリをバージョン 5.7.10 以降、またはバージョン 6.4.1 以降にアップデートしてください。このアップデートは、攻撃者がユーザーの同意なしにアクションを実行することを可能にする CSRF 脆弱性を修正します。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-40458 — CSRF in PAC4J Core とは何ですか？

CVE-2026-40458 は、PAC4J Core 5.0.0–6.4.1 に存在するクロスサイトリクエストフォージェリ (CSRF) の脆弱性です。攻撃者は、この脆弱性を悪用して、正規の CSRF トークンをバイパスし、不正なリクエストを送信できます。

CVE-2026-40458 in PAC4J Core に影響を受けますか？

PAC4J Core のバージョンが 5.0.0 から 6.4.1 のいずれかである場合、この脆弱性の影響を受けます。

CVE-2026-40458 in PAC4J Core を修正するにはどうすればよいですか？

PAC4J Core をバージョン 6.4.1 にアップグレードすることで、この脆弱性を修正できます。

CVE-2026-40458 は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されている PoC は確認されていませんが、悪用される可能性は否定できません。

CVE-2026-40458 のための PAC4J Core の公式アドバイザリはどこで入手できますか？

PAC4J Core の公式アドバイザリは、PAC4J のウェブサイトまたは GitHub リポジトリで確認できます。