发布日期：2022-11-01
更新日期：2023-01-04

受影响系统：

phpCAS phpCAS < 1.6.0

描述：

---

CVE(CAN) ID: CVE-2022-39369

phpCAS是身份验证库，允许PHP应用程序通过中央身份验证服务的服务器轻松验证用户身份。
phpCAS 1.6.0之前版本存在信息泄露漏洞。攻击者可利用该漏洞通过控制主机标头使用授权服务授予的有效凭据验证受phpCAS保护的服务，进而访问受害者的CASified服务上的帐户。

<**>

建议：

---

厂商补丁：

phpCAS
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/apereo/phpCAS/security/advisories/GHSA-8q72-6qq8-xv64

浏览次数：691
严重程度：0（网友投票）