Unknown · Ldap Account Manager · CVE-2024-52792
**Nome do software vulnerável e versões afetadas**
Versões do LDAP Account Manager (LAM) anteriores à 9.0
**Descrição**
O LDAP Account Manager (LAM) é uma interface web em PHP para gerenciar entradas armazenadas em um diretório LDAP. Nas versões afetadas, o LAM não sanitiza adequadamente os valores de configuração definidos via `mainmanage.php` e `confmain.php`, permitindo que um invasor defina valores de configuração arbitrários. Isso pode ser feito inserindo uma nova linha em determinados campos de configuração, seguida pelo valor, efetivamente introduzindo valores de configuração arbitrários em um arquivo de configuração. Os valores são gravados em `config.cfg` ou `serverprofile.conf` no formato `settingsName: settingsValue`, linha por linha.
**Recomendações**
Para versões anteriores à 9.0, atualize para a versão 9.0 para resolver o problema. Como solução temporária, considere restringir o acesso a `mainmanage.php` e `confmain.php` para minimizar o risco de exploração. Evite usar os campos `settingsName` e `settingsValue` nos arquivos de configuração afetados até que o problema seja resolvido.