Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu PAC4J i koordynował proces ujawniania informacji.
Podatność CVE-2026-40458: W PAC4J wykryto podatność typu Cross-Site Request Forgery (CSRF). Atakujący może przygotować złośliwą stronę, która po odwiedzeniu przez ofiarę wysyła sfałszowane żądanie z tokenem kolidującym z prawdziwym tokenem CSRF. Atak nie wymaga wcześniejszej znajomości tokenu ani jego hasha, ponieważ kolizje deterministycznej funkcji String.hashCode() mogą być obliczone w locie, co skutecznie obniża przestrzeń tokenu do 32 bitów. Umożliwia to obejście ochrony CSRF i wykonanie operacji takich jak zmiana profilu, hasła czy łączenie kont bez wiedzy i zgody użytkownika.
Ten problem został naprawiony w wersjach 5.7.10 i 6.4.1
Podatność CVE-2026-40459: W PAC4J zidentyfikowano podatność typu LDAP Injection występującą w wielu miejscach. Zdalny atakujący o niskich uprawnieniach może wstrzyknąć spreparowaną składnię LDAP do parametrów wyszukiwania opartych na identyfikatorze (ID), co może skutkować nieautoryzowanymi zapytaniami LDAP oraz wykonywaniem dowolnych operacji na katalogu.
Ten problem został naprawiony w wersjach 4.5.10, 5.7.10 i 6.4.1
Podziękowania
Za zgłoszenie podatności dziękujemy Bartłomiejowi Dmitrukowi (striga.ai).
