PT-2021-5500 · Apache · Apache Traffic Control Traffic Ops
Apache Traffic
+1
·
Publicado
2021-11-11
·
Atualizado
2024-06-10
·
CVE-2021-43350
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Apache Traffic Control Traffic Ops (versões afetadas não especificadas)
Descrição
A vulnerabilidade existe devido à falta de neutralização de elementos especiais no filtro LDAP do Apache Traffic Control. Um usuário não autenticado pode explorar essa vulnerabilidade enviando uma solicitação especialmente criada para o endpoint
POST /login de qualquer versão da API, permitindo-lhe injetar conteúdo não sanitizado no filtro LDAP e, potencialmente, executar comandos arbitrários no sistema alvo.Recomendações
Como solução temporária, considere desativar o endpoint
POST /login até que um patch esteja disponível.Restrinja o acesso ao filtro LDAP para minimizar o risco de exploração.
Evite usar nomes de usuário especialmente criados no endpoint da API afetada até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Traffic Control Traffic Ops