Platform
java
Component
pac4j-core
Opgelost in
5.7.10
6.4.1
5.7.10
PAC4J Core, een Java-bibliotheek voor authenticatie, vertoont een Cross-Site Request Forgery (CSRF) kwetsbaarheid. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren namens een gebruiker, zoals het wijzigen van profielgegevens of wachtwoorden. De kwetsbaarheid treedt op in versies 5.0.0 tot en met 6.4.1 en kan worden gemitigeerd door te upgraden naar versie 6.4.1.
De CSRF-kwetsbaarheid in PAC4J Core maakt het mogelijk voor een aanvaller om een gebruiker te misleiden om een actie uit te voeren zonder dat de gebruiker zich daarvan bewust is. Dit kan leiden tot ongeautoriseerde wijzigingen in gebruikersprofielen, wachtwoordresets of andere gevoelige acties. De aanvaller hoeft geen kennis te hebben van het CSRF-token of de hash ervan; botsingen in de String.hashCode() functie kunnen direct worden berekend, waardoor de effectieve beveiligingsruimte van het token wordt verkleind tot 32 bits. Dit omzeilt de CSRF-bescherming en stelt de aanvaller in staat om kwaadaardige verzoeken in te dienen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-04-17. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de mogelijkheid tot misbruik bestaat gezien de relatieve eenvoud van CSRF-aanvallen. Er zijn geen publieke proof-of-concept exploits beschikbaar op het moment van schrijven, maar de beschrijving van de kwetsbaarheid maakt het mogelijk voor ervaren aanvallers om een dergelijke exploit te ontwikkelen.
Applications utilizing PAC4J Core for authentication and authorization, particularly those handling sensitive user data, are at risk. Shared hosting environments where multiple applications share the same PAC4J Core library are also particularly vulnerable, as a compromise in one application could potentially impact others.
• java / server:
# Check for PAC4J Core version
java -jar your_application.jar | grep "PAC4J Core"• generic web:
# Check for suspicious requests in access logs
grep -i "/your/sensitive/endpoint" access.logdisclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
De primaire mitigatie voor deze kwetsbaarheid is het upgraden van PAC4J Core naar versie 6.4.1 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van aanvullende CSRF-beschermingsmaatregelen, zoals het gebruik van SameSite cookies of het implementeren van een token-validatie op de serverzijde. Controleer de PAC4J-configuratie om er zeker van te zijn dat CSRF-bescherming correct is ingeschakeld en dat de token-generatie robuust is. Na de upgrade, verifieer de bescherming door te proberen een kwaadaardig CSRF-verzoek in te dienen en te controleren of dit wordt geblokkeerd.
Werk de PAC4J Core bibliotheek bij naar versie 5.7.10 of hoger, of naar versie 6.4.1 of hoger. Deze update corrigeert een CSRF-kwetsbaarheid die aanvallers in staat stelt acties uit te voeren namens gebruikers zonder hun toestemming.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-40458 is a Cross-Site Request Forgery (CSRF) vulnerability affecting PAC4J Core versions 5.0.0–6.4.1, allowing attackers to bypass CSRF protection through hash collisions.
You are affected if you are using PAC4J Core versions 5.0.0 through 6.4.1. Verify your version and upgrade if necessary.
Upgrade PAC4J Core to version 6.4.1 or later to resolve the vulnerability. Consider additional CSRF mitigation techniques if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's nature makes it likely to be targeted, so proactive mitigation is recommended.
Refer to the official PAC4J project website and security advisories for the latest information and updates regarding CVE-2026-40458.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.