Java向けセキュリティライブラリ「pac4j」にRCE脆弱性
主要なJavaフレームワークに対応するセキュリティライブラリ「pac4j」に脆弱性が明らかとなった。「同4.0.0」より以前のバージョンに影響があり、アップデートが呼びかけられている。
信頼できないデータをデシリアライズする際に、オブジェクトのインスタンス化が適切に制御されない脆弱性「CVE-2023-25581」が明らかとなったもの。
一部クラスにおいて外部制御された値を格納する場合に影響があり、リモートよりコードを実行されるおそれがある。
共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.2」、重要度は「クリティカル(Critical)」とレーティングされている。
2023年2月に報告が行われ、同月CVE番号が採番されていた。すでに実証コード(PoC)も公開されている。
2020年4月にリリースされた「同4.0.0」で脆弱性は修正されており、利用者に対して同バージョン以降を利用するよう呼びかけられている。
(Security NEXT - 2024/10/15 )
ツイート
関連リンク
PR
関連記事
システムの登録ユーザー情報、ユーザー間で閲覧可能に - コマツ
児童情報を全認定こども園にメール誤送信 - 八王子市
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
「NetScaler ADC/Gateway」に複数脆弱性 - アップデートで修正
「Adobe ColdFusion」に複数の深刻な脆弱性 - 早急に対応を
「iOS/iPadOS 26.5.2」を公開、脆弱性37件を修正
「Adobe Campaign Classic」に悪用リスクが高い脆弱性
「Chrome」にアップデート - 382件の脆弱性に対応
過去年度の申請書を誤って廃棄か - 長崎県警
労働力調査の調査世帯一覧表を紛失 - 栃木県
