Utilisation et diffusion de ce document
Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet : | Vulnérabilité dans le plugin CAS de Nuxeo |
Référence : | ESUP-2011-AVI-001 |
Date : | 25 novembre 2011 |
Pièces jointes | Fichiers jars correctifs |
Détail |
Risque
When two users log in and retrieve a ticket from the CAS server at exactly the same time, they may end up with the other user's ticket (and so be logged in with its identity and rights).
...
Plugin CAS pour la version 5.3.2 (esup-ecm 1.1.2)nuxeo-platform-login-cas2-5.4.1-SNAPSHOT.jar
Plugin CAS pour la version 5.4.1
...