Plataforma
java
Componente
pac4j-core
Corrigido em
5.7.10
6.4.1
5.7.10
A vulnerabilidade CVE-2026-40458 afeta o PAC4J Core, uma biblioteca de autenticação Java, permitindo ataques de Cross-Site Request Forgery (CSRF). Um atacante pode explorar colisões na função String.hashCode() para contornar a proteção CSRF, executando ações em nome do usuário. As versões afetadas são 5.0.0 até 6.4.1. A correção foi disponibilizada na versão 6.4.1.
A exploração bem-sucedida desta vulnerabilidade CSRF permite que um atacante execute ações não autorizadas em nome de um usuário autenticado no PAC4J Core. Isso pode incluir a modificação de perfis de usuário, a alteração de senhas e potencialmente outras ações dependendo da funcionalidade da aplicação que utiliza o PAC4J Core. A vulnerabilidade reside na forma como os tokens CSRF são gerados e validados, onde a função String.hashCode() pode gerar colisões, permitindo que um atacante crie requisições forjadas que são aceitas como legítimas. A ausência de um conhecimento prévio do token CSRF do usuário torna o ataque ainda mais fácil de executar, diminuindo a barreira de entrada para atacantes.
A vulnerabilidade foi divulgada em 2026-04-17. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da divulgação. A existência de colisões no String.hashCode() é um problema conhecido em Java, e a exploração desta vulnerabilidade segue um padrão similar a outros ataques CSRF que exploram a geração inadequada de tokens.
Applications utilizing PAC4J Core for authentication and authorization, particularly those handling sensitive user data, are at risk. Shared hosting environments where multiple applications share the same PAC4J Core library are also particularly vulnerable, as a compromise in one application could potentially impact others.
• java / server:
# Check for PAC4J Core version
java -jar your_application.jar | grep "PAC4J Core"• generic web:
# Check for suspicious requests in access logs
grep -i "/your/sensitive/endpoint" access.logdisclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
A mitigação primária para a vulnerabilidade CVE-2026-40458 é a atualização para a versão 6.4.1 do PAC4J Core, que corrige o problema de colisões no String.hashCode(). Se a atualização imediata não for possível, considere implementar medidas de proteção CSRF adicionais, como a validação de referenciador (Referer header) e a utilização de tokens CSRF gerados de forma mais segura. Implementar uma camada de proteção WAF (Web Application Firewall) com regras que detectem padrões de requisições CSRF também pode ajudar a mitigar o risco. Após a atualização, confirme a correção verificando se os tokens CSRF são gerados de forma segura e se as requisições forjadas são devidamente bloqueadas.
Atualize a biblioteca PAC4J Core para a versão 5.7.10 ou superior, ou para a versão 6.4.1 ou superior. Esta atualização corrige uma vulnerabilidade de CSRF que permite a atacantes realizar ações em nome dos usuários sem seu consentimento.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-40458 is a Cross-Site Request Forgery (CSRF) vulnerability affecting PAC4J Core versions 5.0.0–6.4.1, allowing attackers to bypass CSRF protection through hash collisions.
You are affected if you are using PAC4J Core versions 5.0.0 through 6.4.1. Verify your version and upgrade if necessary.
Upgrade PAC4J Core to version 6.4.1 or later to resolve the vulnerability. Consider additional CSRF mitigation techniques if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's nature makes it likely to be targeted, so proactive mitigation is recommended.
Refer to the official PAC4J project website and security advisories for the latest information and updates regarding CVE-2026-40458.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.