PAC4J 软件漏洞总结 漏洞概述 CERT Polska 披露了 PAC4J 软件中的两个安全漏洞: 1. 跨站请求伪造 (CSRF) - CVE ID: CVE-2026-40458 - 类型: CWE-352 (Cross-Site Request Forgery) - 描述: 攻击者可构造恶意请求,利用 PAC4J 中 函数的确定性特性,通过碰撞计算生成有效的 CSRF Token。这降低了 Token 的安全强度至 32 位,导致 CSRF 保护失效,攻击者可在受害者不知情的情况下执行敏感操作(如修改资料、更改密码等)。 2. LDAP 注入 - CVE ID: CVE-2026-40459 - 类型: CWE-90 (Improper Neutralization of Special Elements used in an LDAP Query) - 描述: 低权限远程攻击者可通过构造恶意的 LDAP 查询语法注入,绕过基于 ID 的搜索参数限制,从而执行未授权的 LDAP 查询并操作目录数据。 影响范围 CSRF 漏洞: 影响 PAC4J 版本 5.7.10 和 6.4.1。 LDAP 注入漏洞: 影响 PAC4J 版本 4.5.10、5.7.10 和 6.4.1。 修复方案 CSRF 漏洞: 已在 PAC4J 版本 5.7.10 和 6.4.1 中修复。 LDAP 注入漏洞: 已在 PAC4J 版本 4.5.10、5.7.10 和 6.4.1 中修复。 补充信息 报告来源: 报告由 Bartłomiej Dmitruk (striga.a) 提交给 CERT Polska。 披露时间: 2026年4月17日。