PT-2026-55299 · Apereo · Apereo Cas

George Chen

·

Publicado

2026-07-02

·

Atualizado

2026-07-03

·

CVE-2026-59099

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Apereo CAS versões 7.3.0 até 8.0.0-RC5
Descrição Uma falha criptográfica permite que atacantes remotos não autenticados recuperem o estado da conversa em texto simples. Isso ocorre porque o sistema reutiliza o vetor de inicialização (IV) do AES-GCM durante a vida útil do servidor. Ao coletar múltiplos tokens de execução de webflow do lado do cliente na página de login não autenticada, um atacante pode realizar uma análise de texto simples conhecido para descriptografar o estado da conversa do webflow. Isso é possível devido à reutilização do keystream resultante de um IV fixo composto por zeros associado à mesma chave de criptografia.
Recomendações Atualize para a versão 8.0.0-RC6 ou posterior.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-59099

Produtos afetados

Apereo Cas