PT-2020-2096 · Prosody · Prosody
Matthew Wild
·
Publicado
2020-01-28
·
Atualizado
2020-02-04
·
CVE-2020-8086
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Módulos comunitários mod auth ldap e mod auth ldap2 do Prosody, versões anteriores a 27/01/2020
Descrição
O problema está relacionado à verificação incompleta do endereço XMPP passado para a função
is admin() nos módulos comunitários mod auth ldap e mod auth ldap2 para Prosody. Isso pode permitir que uma entidade remota obtenha funcionalidades exclusivas do administrador se seu nome de usuário corresponder ao de um administrador local, levando potencialmente ao acesso não autorizado a dados confidenciais, à violação da integridade dos dados e à negação de serviço.Recomendações
Para as versões dos Módulos Comunitários mod auth ldap e mod auth ldap2 do Prosody anteriores a 27/01/2020, atualize para uma versão lançada após 27/01/2020 para garantir a verificação adequada dos endereços XMPP e impedir o acesso não autorizado. Como solução temporária, considere restringir o acesso às funcionalidades exclusivas do administrador até que a atualização possa ser aplicada.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Prosody