数百のソフトウェアパッケージとリポジトリに統合されているオープンソースライブラリであるpac4jの最大重要度の脆弱性は、大きなセキュリティ脅威をもたらしていますが、これまでのところほとんど注目を受けていません。
複数フレームワーク間で認証を処理するJavaセキュリティエンジンの欠陥は、コードレビュー企業CodeAnt AIが先週プルーフオブコンセプト悪用を公開して以来、実際に悪用されていません。同社は脆弱性を発見し、pac4jのメンテナーに非公開で報告しました。メンテナーは欠陥を開示し、2日以内に影響を受けたバージョンのライブラリにパッチをリリースしました。
一部の研究者はCyberScoopに対し、CVE-2026-29000という脆弱性について懸念していると述べています。この脆弱性は、攻撃者が比較的容易に悪用できる広く導入されているJavaセキュリティエンジンに影響を与えるためです。
「脅威アクターは悪用を試みるためにサーバーの公開RSA鍵にアクセスする必要があるだけです」とArctic Wolf Labsの研究者がメールで述べました。
公開されているこれらの公開鍵は、データを暗号化し、身元認証を有効にするために使用されます。攻撃者はJSON Web Token(JWT)を偽造したり、pac4j-jwtでJSON Web Encryption(JWE)経由で生のJSONクレームを配置したりすることで欠陥をトリガーし、認証をバイパスして最高権限でシステムに侵入できます。
「この脆弱性のライフサイクルの現段階では、主要な脅威となるかどうかを判断するにはまだ早いですが、ライブラリ内の脆弱性であるという事実は、潜在的リスクの評価をより困難にしています」とArctic Wolf Labsの研究者は述べました。「過去に他の同様の脆弱性で見られたように、ライブラリのダウンストリーム消費者は独自の勧告を発行する必要があるかもしれません。」
CodeAnt AIの共同創業者兼CEOであるAmartya Jha氏は、基本的なJWT知識を持つ誰もが悪用を達成できると警告しました。この脆弱性は「単一の行のコードが間違っていないため、パターンマッチングスキャナーやルールベースの静的アプリケーションセキュリティテストツールが検出できない論理的欠陥」です。
オープンソースソフトウェアの場合と同様に、ダウンストリーム領域のセキュリティリスクは広範です。Jha氏によると、pac4jの認証モジュールはSpring Security、Play Framework、Vert.x、Javalin、その他を含む複数のフレームワークに統合されています。
彼は、多くの組織がビルドファイルに常に宣言されていないため、pac4j-jwtに依存していることに気付かないかもしれないと付け加えました。CodeAntは過去1週間で数百のメンテナーに連絡し、彼らのパッケージとリポジトリがCVSS評価10を持つこの脆弱性の影響を受けていることを警告したと述べました。
研究者は追加のプルーフオブコンセプト悪用コードを観察していませんが、悪用パスは再現するのが簡単であることに注目しました。
「悪用の条件は好ましい状況です」とJha氏は述べました。「認証前の脆弱性であり、秘密情報は不要で、PoC は公開されており、攻撃対象には影響を受ける設定を使用するインターネット向けアプリケーションまたはAPIゲートウェイが含まれます。公開PoC からパッチ採用までのウィンドウ期間がリスクが最も高い場所です。」
翻訳元: https://cyberscoop.com/pac4j-open-source-library-vulnerability-max-severity-risk/
