PT-2020-16344 · Alerta · Alerta
Publicado
2020-11-06
·
Atualizado
2020-11-17
·
CVE-2020-26214
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Alerta anteriores à 8.1.0
Descrição
A vulnerabilidade permite que os usuários contornem a autenticação LDAP fornecendo uma senha vazia quando o servidor Alerta está configurado para usar o LDAP como provedor de autorização. Isso afeta implantações nas quais os servidores LDAP estão configurados para permitir mecanismos de autenticação não autenticados para autorização anônima. Foi implementada uma correção que retorna uma resposta HTTP 401 Não autorizado para qualquer tentativa de autenticação em que o campo de senha esteja vazio.
Recomendações
Para versões anteriores à 8.1.0, atualize para a versão 8.1.0 para resolver o problema.
Como solução alternativa temporária, os administradores LDAP podem desativar solicitações de ligação não autenticadas por parte dos clientes.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alerta