MEDIUMCVE-2026-40459

PAC4JにおけるLDAPインジェクション

プラットフォーム

java

コンポーネント

pac4j-core

修正版

4.5.10

5.7.10

6.4.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年4月

NVDで見る

保存

PAC4J Core には、複数のメソッドにおいて LDAP インジェクションの脆弱性が存在します。この脆弱性を悪用されると、攻撃者は ID ベースの検索パラメータに悪意のある LDAP 構文を注入し、不正な LDAP クエリやディレクトリ操作を実行する可能性があります。影響を受けるバージョンは PAC4J Core 4.0.0 から 6.4.1 です。バージョン 4.5.10, 5.7.10, 6.4.1 でこの問題が修正されました。

影響と攻撃シナリオ

CVE-2026-40459 は PAC4J に影響を与えます。これは Java の認証ライブラリです。脆弱性は LDAP インジェクションにあり、低権限のリモート攻撃者が ID ベースの検索パラメータに悪意のある LDAP 構文を挿入することを可能にします。これにより、不正な LDAP クエリとディレクトリの任意操作につながる可能性があります。潜在的な影響には、機密情報の漏洩、データ操作、場合によってはシステムの侵害が含まれます。脆弱性の深刻度は評価中ですが、LDAP リソースへの不正アクセスが可能なため、重大であると見なされています。このリスクを軽減するために、パッチが適用されたバージョンに更新することが重要です。この脆弱性は、適切な検証またはサニタイズなしに LDAP クエリで直接使用される入力パラメータの操作を通じて悪用されます。

悪用の状況

この脆弱性は、PAC4J 内の LDAP 検索で使用される入力パラメータを操作することで悪用されます。攻撃者は、LDAP サーバーで実行される LDAP フィルターなどの悪意のある LDAP コードを挿入できます。これにより、攻撃者はユーザーを列挙したり、ユーザー属性を変更したり、LDAP ディレクトリに保存されている機密情報にアクセスしたりする可能性があります。エクスプロイトの成功は、LDAP サーバーの構成と検索を実行するユーザーの権限に依存します。入力検証の欠如がこの脆弱性の主な原因です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.14% (34% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントpac4j-core

ベンダーPAC4J

影響範囲修正版

4.0 – 4.5.104.5.10

5.0 – 5.7.105.7.10

6.0 – 6.4.16.4.1

弱点分類 (CWE)

CWE-90

タイムライン

予約済み2026-04-13
公開日2026-04-17
EPSS 更新日2026-04-25

緩和策と回避策

推奨される解決策は、PAC4J のバージョン 4.5.10、5.7.10、または 6.4.1 など、修正が含まれるバージョンに直ちに更新することです。直ちに更新できない場合は、LDAP サービスへのアクセス制限、厳格なアクセス制御の適用、LDAP アクティビティの疑わしいパターン監視など、一時的な軽減策を実装することを検討してください。さらに、LDAP クエリの不適切な使用のすべてのインスタンスを識別および修正するためにコードをレビューする必要があります。LDAP クエリで使用されるすべてのユーザー入力を検証およびサニタイズすることは、将来のインジェクションを防ぐために不可欠です。潜在的な脆弱性を特定して対処するために、定期的な侵入テストをお勧めします。

修正方法翻訳中…

Actualice la biblioteca PAC4J Core a la versión 4.5.10 o superior, 5.7.10 o superior, o 6.4.1 o superior para mitigar la vulnerabilidad de inyección LDAP.  Asegúrese de revisar la documentación de PAC4J para obtener instrucciones de actualización específicas para su entorno.  Verifique y sanee las entradas del usuario que se utilizan en las búsquedas LDAP para evitar la inyección de código malicioso.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-40459 とは何ですか？（PAC4J Core）

LDAP (Lightweight Directory Access Protocol) は、ディレクトリに格納された情報にアクセスおよび変更するためのプロトコルです。LDAP ディレクトリは、ネットワーク上の認証および承認によく使用されます。

PAC4J Core の CVE-2026-40459 による影響を受けていますか？

LDAP インジェクションは、攻撃者が LDAP クエリに悪意のある LDAP コードを挿入できるセキュリティ脆弱性の種類です。これにより、情報への不正アクセスやデータ操作につながる可能性があります。

PAC4J Core の CVE-2026-40459 を修正するにはどうすればよいですか？

PAC4J を使用している場合は、使用しているバージョンを確認してください。バージョンが 4.5.10、5.7.10、または 6.4.1 より古い場合は、脆弱です。

CVE-2026-40459 は積極的に悪用されていますか？

LDAP へのアクセス制限と LDAP アクティビティの監視など、一時的な軽減策を実装してください。

CVE-2026-40459 に関する PAC4J Core の公式アドバイザリはどこで確認できますか？

PAC4J の公式ドキュメントと CVE-2026-40459 に関連するセキュリティアドバイザリを参照してください。