Java向けセキュリティライブラリ「pac4j」にRCE脆弱性

主要なJavaフレームワークに対応するセキュリティライブラリ「pac4j」に脆弱性が明らかとなった。「同4.0.0」より以前のバージョンに影響があり、アップデートが呼びかけられている。

信頼できないデータをデシリアライズする際に、オブジェクトのインスタンス化が適切に制御されない脆弱性「CVE-2023-25581」が明らかとなったもの。

一部クラスにおいて外部制御された値を格納する場合に影響があり、リモートよりコードを実行されるおそれがある。

共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.2」、重要度は「クリティカル（Critical）」とレーティングされている。

2023年2月に報告が行われ、同月CVE番号が採番されていた。すでに実証コード（PoC）も公開されている。

2020年4月にリリースされた「同4.0.0」で脆弱性は修正されており、利用者に対して同バージョン以降を利用するよう呼びかけられている。

（Security NEXT - 2024/10/15 ） ツイート

PR

関連記事

セミナー申込フォーム、確認設定から他者が閲覧可能に - 山口県
日本語学習支援施設のサイトが改ざん被害 - 横浜市
フォームで個人情報が閲覧可能に、社内共有時のミスで - スーパーチェーン
サーバがランサム被害、個人情報流出の可能性 - 川崎設備工業
2Qの個人「サポート詐欺」相談は912件 - 検挙後に減少
SAML認証ライブラリに脆弱性の指摘 - CVE番号は「拒絶」に
先週注目された記事（2025年7月20日〜2025年7月26日）
「MS Edge」にセキュリティアップデート - 脆弱性2件を解消
メール誤送信で留学生受入先のメアドが流出 - 福知山公立大
草津市指定管理者の運営2サイトが改ざん被害 - 偽警告を表示