BDU:2024-06190

Apereo Foundation, ООО «Ред Софт» phpCAS, РЕД ОС

НЕ ОЦЕНЕНО

Дата обнаружения

2022-11-01

Официальное описание

Уязвимость функции phpCAS::setUrl() библиотеки аутентификации phpCAS связана с использованием заголовков HTTP для определения URL-адреса сервиса, используемого для проверки билетов, позволяющего контролировать заголовок хоста и использовать действительный билет для аутентификации в службе, защищенной phpCAS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к учетной записи пользователя

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Для phpCAS: https://github.com/apereo/phpCAS/security/advisories/GHSA-8q72-6qq8-xv64 https://github.com/apereo/phpCAS/commit/b759361d904a2cb2a3bcee9411fc348cfde5d163

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей