Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu PAC4J
17 kwietnia 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-40458
Data publikacji 17 kwietnia 2026
Producent podatnego oprogramowania PAC4J
Nazwa podatnego oprogramowania PAC4J
Podatne wersje Od 5.0 do 5.7.10
Od 6.0 do 6.4.1
Typ podatności (CWE) Cross-Site Request Forgery (CSRF) (CWE-352)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-40459
Data publikacji 17 kwietnia 2026
Producent podatnego oprogramowania PAC4J
Nazwa podatnego oprogramowania PAC4J
Podatne wersje Od 4.0 do 4.5.10
Od 5.0 do 5.7.10
Od 6.0 do 6.4.1
Typ podatności (CWE) Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') (CWE-90)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu PAC4J i koordynował proces ujawniania informacji.

Podatność CVE-2026-40458: W PAC4J wykryto podatność typu Cross-Site Request Forgery (CSRF). Atakujący może przygotować złośliwą stronę, która po odwiedzeniu przez ofiarę wysyła sfałszowane żądanie z tokenem kolidującym z prawdziwym tokenem CSRF. Atak nie wymaga wcześniejszej znajomości tokenu ani jego hasha, ponieważ kolizje deterministycznej funkcji String.hashCode() mogą być obliczone w locie, co skutecznie obniża przestrzeń tokenu do 32 bitów. Umożliwia to obejście ochrony CSRF i wykonanie operacji takich jak zmiana profilu, hasła czy łączenie kont bez wiedzy i zgody użytkownika.

Ten problem został naprawiony w wersjach 5.7.10 i 6.4.1

Podatność CVE-2026-40459: W PAC4J zidentyfikowano podatność typu LDAP Injection występującą w wielu miejscach. Zdalny atakujący o niskich uprawnieniach może wstrzyknąć spreparowaną składnię LDAP do parametrów wyszukiwania opartych na identyfikatorze (ID), co może skutkować nieautoryzowanymi zapytaniami LDAP oraz wykonywaniem dowolnych operacji na katalogu.

Ten problem został naprawiony w wersjach 4.5.10, 5.7.10 i 6.4.1

Podziękowania

Za zgłoszenie podatności dziękujemy Bartłomiejowi Dmitrukowi (striga.ai).

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.