phpCAS 信息泄露漏洞(CVE-2022-39369)

admin

0
文章

0
评论

2023-11-30 05:21:32 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 phpCAS 信息泄露漏洞(CVE-2022-39369)

CVE编号

CVE-2022-39369

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-11-02

漏洞描述

phpCAS是一个身份验证库，允许PHP应用程序通过中央身份验证服务(CAS)服务器轻松地对用户进行身份验证。phpCAS库使用HTTP头来确定用于验证票证的服务URL。这允许攻击者控制主机标头并使用为同一SSO领域（CAS服务器）中的任何授权服务授予的有效票证来验证受phpCAS保护的服务。根据CAS服务器服务注册表的设置，在最坏的情况下，这可能是任何其他服务URL（如果允许的URL配置为“^(https)://.*”），或者可能严格限于已知和授权的服务如果应用了适当的URL服务验证，则同一SSO联合。当受害者在登录到同一CAS服务器的同时访问攻击者的网站时，此漏洞可能允许攻击者在受害者不知情的情况下访问受害者在易受攻击的CASified服务上的帐户。phpCAS 1.6.0是开始强制执行服务URL发现验证的主要版本升级，因为不幸的是，PHP中没有100%安全的默认配置。启动这个版本，在构造客户端类时需要传入额外的服务基URL自变量。有关更多信息，请参阅升级文档。此漏洞仅影响phpCAS库所保护的CAS客户端。phpCAS<1.6.0中有问题的服务URL发现行为只会被禁用，因此如果phpCAS配置有以下设置，您不会受到它的影响：1.调用'phpCS::setUrl()'（提醒您必须传入当前页面的完整URL，而不是您的服务基础URL），以及2.()'仅在启用代理模式时被调用。3.如果您的PHP的HTTP标头输入'X-Forwarded-Host'、'X-FORWARed-Server'、“Host”、“X-Forwared-Proto'、”X-Forwards-Protocol'在到达PHP之前被清理（通过例如反向代理），您也不会受到此漏洞的影响。如果您的CAS服务器服务注册表配置为仅允许已知和受信任的服务URL，则漏洞的严重性将大大降低，因为攻击者必须控制另一个授权服务。否则，您应该升级库以获得安全的服务发现行为。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/apereo/phpCAS/security/advisories/GHSA-8q72-6qq8-xv64
https://lists.debian.org/debian-lts-announce/2023/07/msg00007.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apereo	phpcas	*		Up to (excluding) 1.6.0
	运行在以下环境
	系统	debian_10	php-cas	*		Up to (excluding) 1.3.6-1+deb10u1
	运行在以下环境
	系统	debian_11	php-cas	*		Up to (including) 1.3.8-1
	运行在以下环境
	系统	debian_12	php-cas	*		Up to (excluding) 1.6.0-1
	运行在以下环境
	系统	debian_sid	php-cas	*		Up to (excluding) 1.6.0-1
	运行在以下环境
	系统	fedora_35	php-pear-CAS	*		Up to (excluding) 1.6.0-1.fc35
	运行在以下环境
	系统	fedora_36	php-pear-CAS	*		Up to (excluding) 1.6.0-1.fc36
	运行在以下环境
	系统	fedora_37	php-pear-CAS	*		Up to (excluding) 1.6.0-1.fc37