PT-2021-3335 · Onedev · Onedev
Robinshine
·
Publicado
2021-05-29
·
Atualizado
2021-06-16
·
CVE-2021-32651
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
OneDev versões 4.4.1 e anteriores
Descrição
O problema está relacionado ao mecanismo de autenticação externa LDAP no OneDev. Se esse mecanismo estiver habilitado, um invasor pode manipular um filtro de pesquisa de usuários para enviar consultas falsificadas ao aplicativo, permitindo-lhe explorar a árvore LDAP usando técnicas de injeção LDAP cega. A carga útil específica depende de como a propriedade Filtro de Pesquisa de Usuários está configurada no OneDev.
Recomendações
Para as versões 4.4.1 e anteriores do OneDev, atualize para a versão 4.4.2 para resolver o problema. Como solução alternativa temporária, considere desativar o mecanismo de autenticação externa LDAP até que um patch esteja disponível. Restrinja o acesso à propriedade Filtro de Pesquisa de Usuário para minimizar o risco de exploração. Evite usar a propriedade
Filtro de Pesquisa de Usuário no mecanismo de autenticação LDAP afetado até que o problema seja resolvido.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Onedev