PAC4J Core 在多个方法中存在LDAP注入漏洞,允许低权限的远程攻击者将精心设计的LDAP语法注入到基于ID的搜索参数中。这可能导致未经授权的LDAP查询和任意目录操作,从而危及系统安全。该漏洞影响PAC4J Core 4.0.0到6.4.1版本。PAC4J 4.5.10, 5.7.10 和 6.4.1 版本已修复此问题。
CVE-2026-40459 影响 PAC4J,一个 Java 认证库。该漏洞在于 LDAP 注入,允许低权限的远程攻击者将恶意 LDAP 语法注入到基于 ID 的搜索参数中。这可能导致未经授权的 LDAP 查询和目录的任意操作。潜在影响包括敏感信息泄露、数据篡改以及在某些情况下,系统被破坏。该漏洞的严重程度正在评估中,但由于存在未经授权访问 LDAP 资源的可能性,因此被认为具有重要意义。为了降低这种风险,必须更新到已修复的版本。该漏洞是通过操纵直接用于 LDAP 查询且未进行适当验证或清理的输入参数来利用的。
该漏洞是通过操纵 PAC4J 中 LDAP 搜索使用的输入参数来利用的。攻击者可以注入恶意 LDAP 代码,例如 LDAP 过滤器,这些代码将在 LDAP 服务器上执行。这可以让攻击者枚举用户、修改用户属性,甚至访问存储在 LDAP 目录中的敏感信息。利用的成功取决于 LDAP 服务器的配置和执行搜索的用户权限。输入验证不足是此漏洞的主要原因。
漏洞利用状态
EPSS
0.14% (34% 百分位)
CISA SSVC
建议的解决方案是立即更新到包含修复程序的 PAC4J 版本,具体为版本 4.5.10、5.7.10 或 6.4.1。如果无法立即更新,请考虑实施临时缓解措施,例如限制对 LDAP 服务的访问、强制执行严格的访问控制以及监控 LDAP 活动中是否存在可疑模式。此外,请审查代码以识别和更正 LDAP 查询不安全使用的任何实例。在 LDAP 查询中使用的所有用户输入必须经过验证和清理,以防止未来的注入。建议定期进行渗透测试以识别和解决潜在的漏洞。
Actualice la biblioteca PAC4J Core a la versión 4.5.10 o superior, 5.7.10 o superior, o 6.4.1 o superior para mitigar la vulnerabilidad de inyección LDAP. Asegúrese de revisar la documentación de PAC4J para obtener instrucciones de actualización específicas para su entorno. Verifique y sanee las entradas del usuario que se utilizan en las búsquedas LDAP para evitar la inyección de código malicioso.
漏洞分析和关键警报直接发送到您的邮箱。
LDAP (Lightweight Directory Access Protocol) 是一种用于访问和修改存储在目录中的信息的协议。LDAP 目录通常用于网络上的身份验证和授权。
LDAP 注入是一种安全漏洞,允许攻击者将恶意 LDAP 代码注入到 LDAP 查询中,这可能导致未经授权访问信息或数据篡改。
如果您使用 PAC4J,请检查您使用的版本。如果版本早于 4.5.10、5.7.10 或 6.4.1,则您会受到影响。
实施临时缓解措施,例如限制对 LDAP 的访问以及监控 LDAP 活动。
请参阅 PAC4J 的官方文档以及与 CVE-2026-40459 相关的安全公告。
上传你的 pom.xml 文件,立即知道是否受影响。