CVE-2022-29229

Versões da biblioteca CaSS anteriores à 1.5.8

A CaSS Library apresenta uma etapa criptográfica ausente ao armazenar chaves criptográficas, permitindo que um administrador de servidor acesse as chaves criptográficas de uma conta. Esse problema afeta servidores CaSS que utilizam autenticação autônoma por nome de usuário/senha, a qual espera segurança criptográfica de ponta a ponta das credenciais de autorização. O problema pode ser mitigado utilizando SSO ou certificados do lado do cliente para fazer login.

Para versões anteriores à 1.5.8, atualize para a versão 1.5.8 para corrigir o problema. Observe que as contas vulneráveis só serão protegidas novamente quando o usuário fizer o próximo login usando autenticação independente. Como solução alternativa temporária, considere usar SSO ou certificados do lado do cliente para fazer login, pois esses métodos não têm a mesma expectativa de acesso às credenciais sem conhecimento.