Framework-ul Java pac4j este vulnerabil la atacurile RCE

O vulnerabilitate critică de securitate a fost identificată în popularul framework Java, pac4j, afectând în special versiunile anterioare versiunii 4.0.

Această vulnerabilitate, identificată drept CVE-2023-25581, permite executarea codului de la distanță (RCE), reprezentând un risc semnificativ pentru sistemele care utilizează versiunile afectate ale pac4j-core.

Vulnerabilitatea provine dintr-o eroare în procesul de deserializare din cadrul clasei InternalAttributeHandler din pac4j-core. Această eroare permite atacatorilor să exploateze sistemele ce stochează valori controlate extern în atributele clasei UserProfile.

Prin furnizarea unui atribut care conține un obiect Java serializat prefixat cu {#sb64} și codificat Base64, atacatorii pot declanșa deserializarea claselor Java arbitrare.

Echipa de dezvoltatori pac4j a confirmat raportul cu privire la vulnerabilitate și a emis o remediere la 14 februarie 2023, odată cu lansarea versiunii 4.0 a pac4j-core.

Vulnerabilitatea își are originea în modul în care metoda restore din InternalAttributeHandler procesează atributele de tip string.

Metoda nu verifică dacă o valoare string începe cu prefixul {#sb64} înainte de a încerca procesul de deserilizare.

Această eroare poate fi exploatată prin manipularea unor atribute precum numele de utilizator sau adresa de e-mail pentru a include obiecte serializate malițioase.

Utilizatorii pac4j-core sunt sfătuiți să facă upgrade la versiunea 4.0 sau mai recentă, care remediază această vulnerabilitate.

Descoperirea și divulgarea acestei vulnerabilități subliniază importanța actualizărilor regulate și a vigilenței în menținerea securității software-ului.

Deoarece framework-urile Java precum pac4j fac parte integrală din multe aplicații, asigurarea securității acestora este esențială pentru protecția împotriva exploatărilor potențiale.

Sursă: https://cybersecuritynews.com/pac4j-rce-vulnerability/