Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Java向けセキュリティライブラリ「pac4j」にRCE脆弱性

主要なJavaフレームワークに対応するセキュリティライブラリ「pac4j」に脆弱性が明らかとなった。「同4.0.0」より以前のバージョンに影響があり、アップデートが呼びかけられている。

信頼できないデータをデシリアライズする際に、オブジェクトのインスタンス化が適切に制御されない脆弱性「CVE-2023-25581」が明らかとなったもの。

一部クラスにおいて外部制御された値を格納する場合に影響があり、リモートよりコードを実行されるおそれがある。

共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.2」、重要度は「クリティカル(Critical)」とレーティングされている。

2023年2月に報告が行われ、同月CVE番号が採番されていた。すでに実証コード(PoC)も公開されている。

2020年4月にリリースされた「同4.0.0」で脆弱性は修正されており、利用者に対して同バージョン以降を利用するよう呼びかけられている。

(Security NEXT - 2024/10/15 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「出前館」が3日間にわたりサービス停止 - マルウェア感染で
ServiceNowに複数の脆弱性 - 8月と10月に修正実施
Apple、「macOS」のアップデートをリリース - のべ65件を解消
「Chrome」にアップデート - 重要度「クリティカル」の脆弱性を修正
標的型攻撃メール訓練サービスに「サポート詐欺」対策など追加
サイバー攻撃で取引先情報が流出した可能性 - 篠崎運輸
メール誤送信、関係者のメアドが流出 - 横須賀市
学内メルアカに不正アクセス、迷惑メール送信が発生 - 学女大
「Spring WebFlux」に深刻な脆弱性 - 認可回避のおそれ
資格認定講習修了者の登録台帳を誤廃棄 - 農水省