CVE-2020-26542

Versões do plugin Simple LDAP do Percona Server MongoDB até 02/10/2020

Foi descoberta uma falha no plugin MongoDB Simple LDAP para o Percona Server ao usar a autenticação SimpleLDAP em conjunto com o Active Directory da Microsoft. A falha permite que a autenticação seja concluída ao passar um valor em branco para a variável password, levando ao acesso ao serviço integrado ao qual o Active Directory está implantado, no nível concedido à conta de autenticação.

Para as versões do plugin MongoDB Simple LDAP do Percona Server até 02/10/2020, considere desativar a autenticação SimpleLDAP até que um patch esteja disponível para impedir a exploração dessa falha. Restrinja o acesso ao serviço integrado ao Active Directory para minimizar o risco de acesso não autorizado. Evite usar senhas em branco para autenticação no plugin afetado até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.