Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu Apereo CAS
03 listopada 2023 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2023-4612
Data publikacji 03 listopada 2023
Producent podatnego oprogramowania Apereo Foundation
Nazwa podatnego oprogramowania CAS
Podatne wersje Wszystkie włącznie z 7.0.0-RC7
Typ podatności (CWE) Authentication Bypass by Assumed-Immutable Data (CWE-302)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Apereo CAS i uczestniczył w jej koordynacji. Podatność pozwala na ominięcie wieloskładnikowego uwierzytelnienia poprzez podszycie się pod urządzenie wcześniej zapisane jako zaufane. Podatności nadano identyfikator CVE-2023-4612 i dotyczy ona wszystkich wersji oprogramowania włącznie z 7.0.0-RC7. Nie wiadomo, czy w nowszych wersjach oprogramowania podatność zostanie usunięta. W momencie publikacji nie wydano stosownej aktualizacji. Producent oprogramowania nie rozpatruje błędu jako podatności i twierdzi, że jest to nieścisłość w dokumentacji.

Podziękowania

Za zgłoszenie podatności dziękujemy Maksymowi Brzęczkowi z efigo.pl.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.