Headline
CVE-2023-4612: Podatność w oprogramowaniu Apereo CAS
Improper Authentication vulnerability in Apereo CAS in jakarta.servlet.http.HttpServletRequest.getRemoteAddr method allows Multi-Factor Authentication bypass.This issue affects CAS: through 7.0.0-RC7. It is unknown whether in new versions the issue will be fixed. For the date of publication there is no patch, and the vendor does not treat it as a vulnerability.
Podatność w oprogramowaniu Apereo CAS
CVE ID
CVE-2023-4612
Data publikacji
03 listopada 2023
Producent podatnego oprogramowania
Apereo Foundation
Nazwa podatnego oprogramowania
CAS
Podatne wersje
Wszystkie włącznie z 7.0.0-RC7
Typ podatności (CWE)
Improper Authentication (CWE-287)
Źródło zgłoszenia
Zgłoszenie do CERT Polska
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Apereo CAS i uczestniczył w jej koordynacji. Podatność pozwala na ominięcie wieloskładnikowego uwierzytelnienia poprzez podszycie się pod urządzenie wcześniej zapisane jako zaufane. Podatności nadano identyfikator CVE-2023-4612 i dotyczy ona wszystkich wersji oprogramowania włącznie z 7.0.0-RC7. Nie wiadomo, czy w nowszych wersjach oprogramowania podatność zostanie usunięta. W momencie publikacji nie wydano stosownej aktualizacji. Producent oprogramowania nie rozpatruje błędu jako podatności i twierdzi, że jest to nieścisłość w dokumentacji.
Podziękowania
Za zgłoszenie podatności dziękujemy Maksymowi Brzęczkowi z efigo.pl.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/