PT-2020-6774 · Unknown · Lemonldap::Ng+1
Maxime Besson
·
Publicado
2020-08-20
·
Atualizado
2020-09-18
·
CVE-2020-24660
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do LemonLDAP::NG até a 2.0.8
Versões do LemonLDAP::NG handler para Node.js anteriores à 0.5.2
Descrição
Uma falha no LemonLDAP::NG permite que um invasor contorne o controle de acesso baseado em URL a hosts virtuais protegidos enviando uma URI não normalizada. Isso está relacionado a erros nos mecanismos de segurança, o que pode permitir que um invasor remoto obtenha acesso não autorizado às informações. Quando regras de acesso são utilizadas dentro de um host protegido, algumas codificações de URL podem contornar o sistema de filtragem.
Recomendações
Para versões do LemonLDAP::NG até a 2.0.8, atualize para uma versão que inclua o patch para este problema.
Para o manipulador LemonLDAP::NG para versões do Node.js anteriores à 0.5.2, atualize para a versão 0.5.2 ou posterior, que inclui um patch que corrige a vulnerabilidade.
Como solução temporária, considere restringir o acesso a hosts virtuais protegidos até que um patch seja aplicado.
Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Lemonldap::Ng
Lemonldap::Ng Handler For Node.Js