PT-2021-4001 · Unknown · Lemonldap::Ng
Yadd
·
Publicado
2021-06-08
·
Atualizado
2021-08-11
·
CVE-2021-35472
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do LemonLDAP::NG anteriores à 2.0.12
Descrição
O problema está relacionado a um erro no tratamento de chaves de autorização controladas pelo usuário no sistema de autenticação do LemonLDAP::NG. Isso pode ser explorado por um invasor remoto para realizar ataques de spoofing. A corrupção do cache de sessão pode levar à burla da autorização ou ao spoofing, permitindo que um invasor seja autenticado como um de dois usuários diferentes ao realizar muitas tentativas de autenticação em um loop.
Recomendações
Para versões anteriores à 2.0.12, atualize para a versão 2.0.12 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração. Evite usar o sistema de autenticação até que o problema seja resolvido.
Exploit
Correção
IDOR
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Lemonldap::Ng