PT-2026-55299 · Apereo · Apereo Cas
George Chen
·
Publicado
2026-07-02
·
Atualizado
2026-07-03
·
CVE-2026-59099
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Apereo CAS versões 7.3.0 até 8.0.0-RC5
Descrição
Uma falha criptográfica permite que atacantes remotos não autenticados recuperem o estado da conversa em texto simples. Isso ocorre porque o sistema reutiliza o vetor de inicialização (IV) do AES-GCM durante a vida útil do servidor. Ao coletar múltiplos tokens de execução de webflow do lado do cliente na página de login não autenticada, um atacante pode realizar uma análise de texto simples conhecido para descriptografar o estado da conversa do webflow. Isso é possível devido à reutilização do keystream resultante de um IV fixo composto por zeros associado à mesma chave de criptografia.
Recomendações
Atualize para a versão 8.0.0-RC6 ou posterior.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apereo Cas