CVE-2025-3985

Nome do Software Vulnerável e Versões Afetadas Apereo CAS versão 5.2.6

Descrição Uma vulnerabilidade foi encontrada no Apereo CAS, afetando a função ResponseEntity do arquivo ManageRegisteredServicesMultiActionController.java. A manipulação do argumento Query resulta em complexidade ineficiente de expressão regular, permitindo um ataque remoto. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu.

Recomendações Como solução temporária, considere restringir o acesso à função ResponseEntity no arquivo ManageRegisteredServicesMultiActionController.java até que uma correção esteja disponível. Evite utilizar o argumento Query na função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.