ГлавнаяБаза уязвимостей БДУ → BDU:2024-06190
9высокая

BDU:2024-06190

Уязвимость функции phpCAS::setUrl() библиотеки аутентификации phpCAS, позволяющая нарушителю получить доступ к учетной записи пользователя
Опубликовано: 2024-08-12
Описание

Уязвимость функции phpCAS::setUrl() библиотеки аутентификации phpCAS связана с использованием заголовков HTTP для определения URL-адреса сервиса, используемого для проверки билетов, позволяющего контролировать заголовок хоста и использовать действительный билет для аутентификации в службе, защищенной phpCAS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к учетной записи пользователя

Затрагиваемое ПО и версии
РЕД ОС (7.3)phpCAS (до 1.6.0)
Способ устранения

Для phpCAS:
https://github.com/apereo/phpCAS/security/advisories/GHSA-8q72-6qq8-xv64
https://github.com/apereo/phpCAS/commit/b759361d904a2cb2a3bcee9411fc348cfde5d163

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://github.com/apereo/phpCAS/commit/b759361d904a2cb2a3bcee9411fc348cfde5d163https://github.com/apereo/phpCAS/security/advisories/GHSA-8q72-6qq8-xv64https://redos.red-soft.ru/support/secure/
Проверьте безопасность своего сайта и почты → Полная проверка домена