Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apereo CAS 5.2.6 (CVE-2025-3986)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
27/04/2025
Última modificación:
29/04/2025

Descripción

Se encontró una vulnerabilidad en Apereo CAS 5.2.6. Se ha declarado problemática. Esta vulnerabilidad afecta al código desconocido del archivo cas-5.2.6\core\cas-server-core-configuration-metadata-repository\src\main\java\org\apereo\cas\metadata\rest\CasConfigurationMetadataServerController.java. La manipulación del argumento Name genera una complejidad ineficiente en las expresiones regulares. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.

Impacto

Puntuación base 4.0
5.30
Gravedad 4.0
MEDIA
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA