1、基于POST的XSS
| 漏洞编号 | CVE-2021-42567。 | |
| 受影响版本 | Apereo CAS 6.3.7.1 和 6.4.2。 | |
| 漏洞描述 | 通过发送到REST API端点的POST请求,CAS容易受到反射跨站点脚本攻击,恶意脚本可以通过票证ID或用户名等参数提交给CAS,导致其执行,易受攻击的端点是“/cas/v1/tickets/”,易受攻击的参数是“ticket id”和“username”,这些参数反映在HTTP响应上,无需清理或转义,并由浏览器执行。 | |
| 修复方案 | 更新到版本6.3.7.4和6.4.4.2以缓解这种XSS和关键的Log4J脆弱性。 |
2、反序列化命令执行漏洞
(图片来源网络,侵删)
| 漏洞编号 | 未提及。 | |
| 受影响版本 | version | |
| 漏洞描述 | Apereo CAS在4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。 | |
| 修复方案 | 升级到无漏洞版本以确保系统安全。 |
3、文件上传漏洞
| 漏洞编号 | 未提及。 | |
| 受影响版本 | H3C-CAS虚拟化管理系统。 | |
| 漏洞描述 | H3C-CAS虚拟化管理系统存在文件上传漏洞。 | |
| 修复方案 | 未提及。 |
这些漏洞可能会对系统的安全性造成严重影响,建议相关用户及时更新软件版本,并采取相应的安全措施来防止潜在的网络攻击。
以上就是关于“cas漏洞”的问题,朋友们可以点击主页了解更多内容,希望可以够帮助大家!
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/73997.html
