Arthur Souza

**Nome do software vulnerável e versões afetadas** Apereo CAS versão 6.6 **Descrição** Foi encontrada uma vulnerabilidade no Apereo CAS, afetando uma funcionalidade desconhecida do arquivo /login. A manipulação do argumento `redirect uri` leva a um redirecionamento aberto. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para o Apereo CAS versão 6.6, atualize para a versão mais recente para mitigar os riscos. Aplique os patches mais recentes e revise as configurações de segurança para garantir que o sistema esteja seguro. Como solução temporária, considere restringir o acesso ao arquivo /login até que um patch esteja disponível. Evite usar o argumento `redirect uri` no arquivo afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Apereo CAS versão 6.6 **Descrição** Foi encontrada uma vulnerabilidade no Apereo CAS, afetando alguma funcionalidade desconhecida do arquivo /login?service, levando à expiração da sessão. O ataque pode ser lançado remotamente, apresentando uma complexidade bastante elevada e sendo de difícil exploração. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para o Apereo CAS versão 6.6, atualize para a versão mais recente para mitigar os riscos. Como solução temporária, considere restringir o acesso ao arquivo /login?service até que um patch esteja disponível. Além disso, aplicar os patches mais recentes e revisar as configurações de segurança pode ajudar a corrigir o problema.

**Nome do software vulnerável e versões afetadas** Apereo CAS versão 6.6 **Descrição** Uma falha crítica afeta o componente de autenticação de dois fatores (2FA) do Apereo CAS, especificamente uma parte desconhecida do arquivo `/login?service`. Isso leva a uma autenticação incorreta e pode ser iniciado remotamente. A exploração foi divulgada publicamente, e o fornecedor foi contatado, mas não respondeu. **Recomendações** Para o Apereo CAS versão 6.6, atualize para o patch mais recente para mitigar o risco de exploração. Como solução temporária, considere restringir o acesso ao arquivo `/login?service` do componente 2FA até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: Versões do Apache CloudStack de 4.15.1.0 a 4.18.2.3 Versões do Apache CloudStack de 4.19.0.0 a 4.19.1.1 Descrição: A operação de logout na interface web do CloudStack não encerra completamente a sessão do usuário, que permanece válida até expirar por tempo ou reinício do serviço de backend. Um invasor com acesso ao navegador de um usuário pode usar uma sessão não expirada para obter acesso aos recursos pertencentes à conta do usuário que efetuou o logout. Recomendações: Para as versões do Apache CloudStack 4.15.1.0 a 4.18.2.3, atualize para o Apache CloudStack 4.18.2.4 ou posterior. Para as versões do Apache CloudStack 4.19.0.0 a 4.19.1.1, atualize para o Apache CloudStack 4.19.1.2 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do Apache CloudStack de 4.15.1.0 a 4.18.2.3 Versões do Apache CloudStack de 4.19.0.0 a 4.19.1.1 Descrição: A vulnerabilidade permite que invasores induzam usuários conectados à interface web do Apache CloudStack a enviar solicitações CSRF maliciosas devido à falta de validação da origem das solicitações. Isso pode levar à apropriação de contas, interrupção do serviço, exposição de dados confidenciais e comprometimento da integridade dos recursos pertencentes à conta de usuário gerenciada pela plataforma. Recomendações: Para as versões do Apache CloudStack 4.15.1.0 a 4.18.2.3, atualize para o Apache CloudStack 4.18.2.4 ou posterior. Para as versões do Apache CloudStack 4.19.0.0 a 4.19.1.1, atualize para o Apache CloudStack 4.19.1.2 ou posterior. Como solução alternativa temporária, considere restringir o acesso à interface web para minimizar o risco de exploração.