正文

Apereo CAS 跨站脚本漏洞

admin
admin V管理员 /0 评论 /16 阅读
0422
此篇文章发布距今已超过1154天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2020-7226

利用情况

暂无

补丁情况

N/A

披露时间

2020-01-25
漏洞描述
Cryptacular 1.2.3版本(使用在Apereo CAS及其他产品)中的CiphertextHeader.java文件存在跨站脚本漏洞。远程攻击者可利用该漏洞在解码操作期间使其分配大量内存,导致应用程序崩溃。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/apereo/cas/commit/8810f2b6c71d73341d4dde6b09a18eb46cfd6d45
https://github.com/apereo/cas/commit/93b1c3e9d90e36a19d0fa0f6efb863c6f0235e75
https://github.com/apereo/cas/commit/a042808d6adbbf44753d52c55cac5f533e24101f
https://github.com/apereo/cas/pull/4685
https://github.com/vt-middleware/cryptacular/blob/fafccd07ab1214e3588a35afe3c...
https://github.com/vt-middleware/cryptacular/blob/master/src/main/java/org/cr...
https://github.com/vt-middleware/cryptacular/issues/52
https://lists.apache.org/thread.html/r0847c7eb78c8f9e87d5b841fbd5da52b2ad4b43...
https://lists.apache.org/thread.html/r209de85beae4d257d27fc577e3a3e97039bdb4c...
https://lists.apache.org/thread.html/r2237a27040b57adc2fcc5570bd530ad2038e67f...
https://lists.apache.org/thread.html/r380781f5b489cb3c818536cd3b3757e806bfe0b...
https://lists.apache.org/thread.html/r4a62133ad01d5f963755021027a4cce23f76b86...
https://lists.apache.org/thread.html/r77c48cd851f60833df9a9c9c31f12243508e15d...
https://lists.apache.org/thread.html/rc36b75cabb4d700b48035d15ad8b8c2712bb321...
https://lists.apache.org/thread.html/re04e4f8f0d095387fb6b0ff9016a0af8c93f42e...
https://lists.apache.org/thread.html/re7f46c4cc29a4616e0aa669c84a0eb34832e83a...
https://lists.apache.org/thread.html/rfa4647c58e375996e62a9094bffff6dc350ec31...
https://www.oracle.com/security-alerts/cpuoct2021.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 vt cryptacular * Up to
(excluding)
1.1.4
运行在以下环境
应用 vt cryptacular * From
(including)
1.2.0 		Up to
(excluding)
1.2.4
CVSS3评分 7.5
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 高
  • 保密性 无
  • 完整性 无
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CWE-ID 漏洞类型 CWE-770 不加限制或调节的资源分配