Maxime Besson

**Nome do software vulnerável e versões afetadas** LemonLDAP::NG versões 2.18.x a 2.19.1 **Descrição** O problema está relacionado à validação incorreta de credenciais, permitindo que invasores contornem a autenticação do cliente OAuth2. Isso pode ser feito fornecendo um parâmetro `client password` vazio, também conhecido como segredo do cliente. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo nem detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 2.18.x a 2.19.1 do LemonLDAP::NG, atualize para a versão 2.19.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do mecanismo de autenticação de cliente OAuth2 até que um patch esteja disponível. Evite usar um parâmetro `client password` vazio no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** LemonLDAP::NG versão 2.0.13 **Descrição** Foi detectada uma falha no LemonLDAP::NG ao utilizar o plug-in RESTServer para um serviço de validação de senha REST e o método de autenticação Kerberos combinado com outro método que utilize o plug-in de autenticação combinada. Nesse cenário, qualquer senha será reconhecida como válida para um usuário existente. **Recomendações** Para o LemonLDAP::NG versão 2.0.13, considere desativar o plug-in de autenticação Combination ou o método de autenticação Kerberos como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao serviço de validação de senha REST para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do LemonLDAP::NG anteriores à 2.0.9 **Descrição** O problema diz respeito ao fato de a validade dos certificados X.509 não ser verificada por padrão ao se conectar a back-ends LDAP remotos. Isso se deve à configuração padrão do módulo Net::LDAPS para Perl que está sendo utilizado. **Recomendações** Para versões anteriores à 2.0.9, atualize para a versão 2.0.9 ou posterior para garantir que a validade dos certificados X.509 seja verificada corretamente ao se conectar a backends LDAP remotos.

**Nome do software vulnerável e versões afetadas** Versões do LemonLDAP::NG até a 2.0.8 Versões do LemonLDAP::NG handler para Node.js anteriores à 0.5.2 **Descrição** Uma falha no LemonLDAP::NG permite que um invasor contorne o controle de acesso baseado em URL a hosts virtuais protegidos enviando uma URI não normalizada. Isso está relacionado a erros nos mecanismos de segurança, o que pode permitir que um invasor remoto obtenha acesso não autorizado às informações. Quando regras de acesso são utilizadas dentro de um host protegido, algumas codificações de URL podem contornar o sistema de filtragem. **Recomendações** Para versões do LemonLDAP::NG até a 2.0.8, atualize para uma versão que inclua o patch para este problema. Para o manipulador LemonLDAP::NG para versões do Node.js anteriores à 0.5.2, atualize para a versão 0.5.2 ou posterior, que inclui um patch que corrige a vulnerabilidade. Como solução temporária, considere restringir o acesso a hosts virtuais protegidos até que um patch seja aplicado.

**Name of the Vulnerable Software and Affected Versions** LemonLDAP::NG versions 2.x through 2.0.5 **Description** The issue is related to improper authorization in the OpenID Connect Issuer of LemonLDAP::NG. It allows an attacker to bypass access control rules via a crafted OpenID Connect authorization request. This can happen if there exists an OIDC Relaying party within the LemonLDAP configuration with weaker access control rules than the target RP, and no filtering on redirection URIs. Exploitation of this issue may allow a remote attacker to gain unauthorized access to information, compromising its integrity and availability, by using a specially crafted OpenID Connect authorization request. **Recommendations** For LemonLDAP::NG versions 2.x through 2.0.5, consider disabling the OpenID Connect Issuer feature until a patch is available, or ensure that all OIDC Relaying parties have strong access control rules and implement filtering on redirection URIs to minimize the risk of exploitation.