CVE-2014-2296

Опубликовано: 20 июл. 2018

Источник: nvd

CVSS3: 8.8

CVSS2: 6.8

EPSS Низкий

Описание

XML external entity (XXE) vulnerability in java/org/jasig/cas/util/SamlUtils.java in Jasig CAS server before 3.4.12.1 and 3.5.x before 3.5.2.1, when Google Accounts Integration is enabled, allows remote unauthenticated users to bypass authentication via crafted XML data.

Ссылки

http://jasig.275507.n4.nabble.com/CAS-3-5-2-1-and-3-4-12-1-Security-Releases-td4662444.html
Release Notes
Vendor Advisory
https://vigilance.fr/vulnerability/Jasig-CAS-Server-bypassing-authentication-via-Google-Accounts-Integration-14512
Third Party Advisory
http://jasig.275507.n4.nabble.com/CAS-3-5-2-1-and-3-4-12-1-Security-Releases-td4662444.html
Release Notes
Vendor Advisory
https://vigilance.fr/vulnerability/Jasig-CAS-Server-bypassing-authentication-via-Google-Accounts-Integration-14512
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apereo:cas_server:*:*:*:*:*:*:*:*

Версия до 3.4.12.1 (исключая)

cpe:2.3:a:apereo:cas_server:*:*:*:*:*:*:*:*

Версия от 3.5 (включая) до 3.5.2.1 (исключая)

EPSS

Процентиль: 57%

0.00349

Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-611

Связанные уязвимости

GHSA-6fqm-3hx5-gmg3