6.4.1
A vulnerabilidade CVE-2026-40459 afeta o PAC4J Core, permitindo a injeção de código LDAP em parâmetros de busca de identidade. Essa falha pode levar a consultas LDAP não autorizadas e manipulação do diretório, comprometendo a segurança do sistema. As versões afetadas são 4.0.0 até 6.4.1, e uma correção foi implementada a partir da versão 6.4.1.
A vulnerabilidade CVE-2026-40459 afeta o PAC4J, uma biblioteca de autenticação Java. A falha reside na injeção LDAP, permitindo que um atacante remoto de baixo privilégio injete sintaxe LDAP maliciosa em parâmetros de pesquisa baseados em ID. Isso pode resultar em consultas LDAP não autorizadas e operações arbitrárias no diretório. O impacto potencial inclui a exposição de informações confidenciais, manipulação de dados e, em alguns casos, comprometimento do sistema. A severidade da vulnerabilidade está sendo avaliada, mas é considerada significativa devido à possibilidade de acesso não autorizado a recursos LDAP. É crucial atualizar para uma versão corrigida para mitigar este risco. A vulnerabilidade é explorada através da manipulação de parâmetros de entrada que são usados diretamente em consultas LDAP sem validação ou sanitização adequadas.
A vulnerabilidade é explorada manipulando os parâmetros de entrada usados em pesquisas LDAP dentro do PAC4J. Um atacante pode injetar código LDAP malicioso, como filtros LDAP, que serão executados no servidor LDAP. Isso pode permitir que o atacante enumere usuários, modifique atributos de usuário ou até mesmo obtenha acesso a informações confidenciais armazenadas no diretório LDAP. O sucesso da exploração depende da configuração do servidor LDAP e das permissões do usuário que realiza a pesquisa. A falta de validação de entrada é a principal causa desta vulnerabilidade.
Status do Exploit
EPSS
0.14% (percentil 34%)
CISA SSVC
A solução recomendada é atualizar imediatamente para uma versão do PAC4J que inclua a correção, especificamente as versões 4.5.10, 5.7.10 ou 6.4.1. Se uma atualização não for imediatamente viável, considere implementar medidas de mitigação temporárias, como restringir o acesso aos serviços LDAP, impor controles de acesso rigorosos e monitorar a atividade LDAP em busca de padrões suspeitos. Além disso, revise o código para identificar e corrigir quaisquer instâncias de uso inseguro de consultas LDAP. A validação e sanitização de todas as entradas do usuário usadas em consultas LDAP são essenciais para prevenir futuras injeções. Recomenda-se realizar testes de penetração regulares para identificar e abordar possíveis vulnerabilidades.
Actualice la biblioteca PAC4J Core a la versión 4.5.10 o superior, 5.7.10 o superior, o 6.4.1 o superior para mitigar la vulnerabilidad de inyección LDAP. Asegúrese de revisar la documentación de PAC4J para obtener instrucciones de actualización específicas para su entorno. Verifique y sanee las entradas del usuario que se utilizan en las búsquedas LDAP para evitar la inyección de código malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
LDAP (Lightweight Directory Access Protocol) é um protocolo para acessar e modificar informações armazenadas em um diretório. Os diretórios LDAP são comumente usados para autenticação e autorização em redes.
A injeção LDAP é um tipo de vulnerabilidade de segurança que permite que um atacante injete código LDAP malicioso em uma consulta LDAP, o que pode resultar em acesso não autorizado a informações ou manipulação de dados.
Se você estiver usando PAC4J, verifique a versão que você está usando. Se for anterior a 4.5.10, 5.7.10 ou 6.4.1, você está vulnerável.
Implemente medidas de mitigação temporárias, como restringir o acesso ao LDAP e monitorar a atividade LDAP.
Consulte a documentação oficial do PAC4J e os avisos de segurança relacionados ao CVE-2026-40459.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.