{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tous les serveurs CAS distribu\u00e9s par l'universit\u00e9 de Yale  jusqu'\u00e0 la version 2.0.12 incluse :</P>  <UL>    <LI><TT>cas-server</TT> 2.x.</LI>  </UL>  <P>Toutes les distributions <TT>esup-cas-quick-start</TT> et  <TT>esup-cas-server</TT> du consortium ESUP-Portail jusqu'\u00e0 la  version 2.0.7 incluse :</P>  <UL>    <LI><TT>esup-cas-quick-start</TT> 1.0.x et 2.0.x ;</LI>    <LI><TT>esup-cas-server</TT> 1.0.x et 2.0.x.</LI>  </UL>","content":"## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans le serveur CAS. Elle permet, en\npassant certaines valeurs au param\u00e8tre service de la page\nd'authentification, d'acc\u00e9der au cookie de session.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 du consortium ESUP-Portail    ESUP-2007-AVI-002 du 03 septembre 2007 :","url":"http://www.esup-portail.org/AvisSecurite"}],"reference":"CERTA-2007-AVI-393","revisions":[{"description":"version initiale.","revision_date":"2007-09-07T00:00:00.000000"}],"risks":[{"description":"Injection de code indirecte \u00e0 distance (XSS)"}],"summary":"Une vuln\u00e9rabilit\u00e9 dans le serveur CAS permet de r\u00e9aliser des attaques de\ntype <span class=\"textit\">cross-site scripting</span>.\n","title":"Vuln\u00e9rabilit\u00e9 dans CAS","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 ESUP-2007-AVI-002 du 03 septembre 2007","url":null}]}