CVE-2021-37933

**Nome do software vulnerável e versões afetadas:

Versões do Huntflow Enterprise anteriores à 3.10.6

Descrição:

O problema está relacionado a uma vulnerabilidade de injeção LDAP no endpoint /account/login. Ela permite que um usuário remoto não autenticado modifique a lógica de uma consulta LDAP e contorne a autenticação devido à validação insuficiente do parâmetro email no lado do servidor. Um invasor poderia explorar essa vulnerabilidade enviando tentativas de login com uma senha válida e um caractere curinga no parâmetro email.

Recomendações:

Para versões anteriores à 3.10.6, atualize para a versão 3.10.6 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint /account/login ou validar o parâmetro email no lado do cliente para minimizar o risco de exploração.