exploitDog

GHSA-g24w-373r-5pxg

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 8.1

Описание

Use of Insufficiently Random Values in Apereo CAS

Multiple classes used within Apereo CAS before release 6.1.0-RC5 makes use of apache commons-lang3 RandomStringUtils for token and ID generation which makes them predictable due to RandomStringUtils PRNG's algorithm not being cryptographically strong.

Ссылки

Пакеты

Наименование

org.apereo.cas:cas-server-support-simple-mfa

maven

Затронутые версииВерсия исправления

< 6.1.0-RC5

6.1.0-RC5

Наименование

org.apereo.cas:cas-server-support-oidc

maven

Затронутые версииВерсия исправления

< 6.1.0-RC5

6.1.0-RC5

Наименование

org.apereo.cas:cas-server-core-services-api

maven

Затронутые версииВерсия исправления

< 6.1.0-RC5

6.1.0-RC5

Наименование

org.apereo.cas:cas-server-support-oauth-core-api

maven

Затронутые версииВерсия исправления

< 6.1.0-RC5

6.1.0-RC5

Наименование

org.apereo.cas:cas-server-support-shell

maven

Затронутые версииВерсия исправления

< 6.1.0-RC5

6.1.0-RC5

Наименование

org.apereo.cas:cas-server-core-services-authentication

maven

Затронутые версииВерсия исправления

< 6.1.0-RC5

6.1.0-RC5

EPSS

Процентиль: 60%

0.004

Низкий

8.1 High

CVSS3

CVE ID

Дефекты

CWE-330

CWE-338

Связанные уязвимости

CVE-2019-10754

CVSS3: 8.1

nvd

больше 6 лет назад

Multiple classes used within Apereo CAS before release 6.1.0-RC5 makes use of apache commons-lang3 RandomStringUtils for token and ID generation which makes them predictable due to RandomStringUtils PRNG's algorithm not being cryptographically strong.

EPSS

Процентиль: 60%

0.004

Низкий

8.1 High

CVSS3

CVE ID

Дефекты

CWE-330

CWE-338