PT-2020-20699 · Apache · Apache Archiva
Publicado
2020-06-19
·
Atualizado
2022-02-10
·
CVE-2020-9495
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Archiva anteriores à 2.2.5
Descrição
A vulnerabilidade permite que um invasor obtenha dados de atributos de usuários do servidor LDAP conectado, inserindo valores especiais no formulário de login. Isso é feito através da modificação do filtro LDAP utilizado para consultar os usuários LDAP com determinados caracteres. Um invasor também pode recuperar dados de atributos arbitrários de objetos de usuário LDAP medindo o tempo de resposta da solicitação de login.
Recomendações
Para versões anteriores à 2.2.5, atualize para a versão 2.2.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao serviço de login para minimizar o risco de exploração. Evite usar caracteres especiais no formulário de login até que o problema seja resolvido.
Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Archiva