PAC4J Core 存在一个跨站请求伪造 (CSRF) 漏洞,允许攻击者在用户不知情的情况下执行未经授权的操作。该漏洞源于 String.hashCode() 函数的哈希碰撞问题,攻击者无需事先获取受害者的 CSRF token 即可绕过保护机制。受影响的版本包括 5.0.0 到 6.4.1。建议立即升级至 6.4.1 版本以消除此风险。
该 CSRF 漏洞允许攻击者利用恶意网站,诱导用户执行未经授权的操作。攻击者可以构造一个网页,当用户访问时,会自动提交伪造的跨站请求,利用哈希碰撞绕过 CSRF 保护。这可能导致用户资料被恶意修改,密码被重置,甚至可能被用于执行其他恶意操作。由于攻击者无需事先知道受害者的 CSRF token,因此该漏洞的攻击难度较低,潜在影响范围广泛。攻击者可以利用此漏洞窃取敏感信息,篡改用户数据,甚至完全控制受害者的账户。
该漏洞已公开披露,且由于其利用简单性,存在被恶意利用的风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。公开的 PoC 可能会出现,因此需要密切关注安全社区的动态。
Applications utilizing PAC4J Core for authentication and authorization, particularly those handling sensitive user data, are at risk. Shared hosting environments where multiple applications share the same PAC4J Core library are also particularly vulnerable, as a compromise in one application could potentially impact others.
• java / server:
# Check for PAC4J Core version
java -jar your_application.jar | grep "PAC4J Core"• generic web:
# Check for suspicious requests in access logs
grep -i "/your/sensitive/endpoint" access.logdisclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
解决此漏洞的最佳方法是立即升级到 PAC4J Core 6.4.1 或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施。例如,可以实施严格的输入验证和输出编码,以防止恶意数据被注入到应用程序中。此外,还可以使用 CSRF 防护令牌,并确保这些令牌在每次请求中都正确验证。如果升级导致兼容性问题,请查阅 PAC4J 官方文档,了解回滚步骤和配置调整建议。升级后,请验证 CSRF 保护是否已正确实施,例如通过模拟攻击场景进行测试。
将 PAC4J Core 库更新到 5.7.10 或更高版本,或 6.4.1 或更高版本。此更新修复了一个 CSRF 漏洞,该漏洞允许攻击者在未经用户同意的情况下执行操作。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-40458 是 PAC4J Core 5.0.0–6.4.1 中发现的跨站请求伪造 (CSRF) 漏洞,攻击者可以利用哈希碰撞绕过 CSRF 保护。
如果您正在使用 PAC4J Core 5.0.0 到 6.4.1 版本的应用程序,则可能受到此漏洞的影响。
建议立即升级到 PAC4J Core 6.4.1 或更高版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请查阅 PAC4J 官方网站或 GitHub 仓库以获取有关此漏洞的官方公告和修复信息。
上传你的 pom.xml 文件,立即知道是否受影响。