CVE-2019-10754 — Use of Insufficiently Random Values in Apereo CAS

描述

Multiple classes used within Apereo CAS before release 6.1.0-RC5 makes use of apache commons-lang3 RandomStringUtils for token and ID generation which makes them predictable due to RandomStringUtils PRNG's algorithm not being cryptographically strong.

如何修補 CVE-2019-10754

要修補 CVE-2019-10754,請將受影響套件升級到下列已修補版本。

—升級至 6.1.0-RC5 或更新版本
—升級至 6.1.0-RC5 或更新版本
—升級至 6.1.0-RC5 或更新版本
—升級至 6.1.0-RC5 或更新版本
—升級至 6.1.0-RC5 或更新版本
—升級至 6.1.0-RC5 或更新版本

CVE-2019-10754 正在被利用嗎?

低 — EPSS 為 0.4%,目前沒有觀察到大規模利用活動。

受影響套件(6)

from 0, < 6.1.0-RC5
from 0, < 6.1.0-RC5
from 0, < 6.1.0-RC5
from 0, < 6.1.0-RC5
from 0, < 6.1.0-RC5
from 0, < 6.1.0-RC5

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	HIGH8.1	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

參考連結(8)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2019-10754
PATCHgithub.com/apereo/cas
WEBgithub.com/apereo/cas/commit/40bf278e66786544411c471de5123e7a71826b9f
WEBsnyk.io/vuln/SNYK-JAVA-ORGAPEREOCAS-467402
WEB