Marvin Addison

**Nome do software vulnerável e versões afetadas** Versões do Jasig Java CAS Client anteriores à 3.3.2 Versões do .NET CAS Client anteriores à 1.0.2 Versões do phpCAS anteriores à 1.3.3 **Descrição** Foi encontrada uma vulnerabilidade de injeção de parâmetros de URL no protocolo CAS, especificamente na etapa de validação de tickets do canal de retorno. Isso permite que invasores remotos injetem scripts da web ou HTML arbitrários por meio do parâmetro `service` em `validation/AbstractUrlBasedTicketValidator.java` ou do parâmetro `pgtUrl` em `validation/Cas20ServiceTicketValidator.java`. **Recomendações** Para versões do Jasig Java CAS Client anteriores à 3.3.2, atualize para a versão 3.3.2 ou posterior. Para versões do .NET CAS Client anteriores à 1.0.2, atualize para a versão 1.0.2 ou posterior. Para versões do phpCAS anteriores à 1.3.3, atualize para a versão 1.3.3 ou posterior.