Impatto Sistemico

Critico (78.33)

Sintesi

Disponibile un Proof of Concept ( PoC ) per la vulnerabilità CVE-2026-29000 presente in pac4j, noto framework di sicurezza open-source per Java. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a utenti malintenzionati di eludere i meccanismi di autenticazione e ottenere accesso amministrativo sui sistemi interessati.

Tipologia

• Authentication Bypass

Descrizione e potenziali impatti

È stato recentemente reso pubblico un Proof of Concept (PoC) per la CVE-2026-29000 – di tipo “Authentication Bypass” e con score CVSS v3.x pari a 9.1– presente in pac4j, noto framework di sicurezza open-source per Java.

In dettaglio, la vulnerabilità interessa il modulo pac4j-jwt, ed è causata da un errore nella validazione della firma del JSON Web Token (JWT) fornito dall’utente in fase di autenticazione. Tramite un JWT opportunamente predisposto, un utente malintenzionato potrebbe eludere i meccanismi di autenticazione e ottenere accesso amministrativo sui sistemi target.

Prodotti e versioni affette

pac4j

• 4.x, versioni precedenti alla 4.5.9
• 5.x, versioni precedenti alla 5.7.9
• 6.x, versioni precedenti alla 6.3.3

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.