PT-2022-16926 · Unknown · Ldap Account Manager
Arseniy Sharoglazov
·
Publicado
2022-04-15
·
Atualizado
2022-10-07
·
CVE-2022-24851
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do LDAP Account Manager (LAM) anteriores à 7.9.1
Descrição
A ferramenta de edição de perfis do LDAP Account Manager (LAM) possui uma funcionalidade de edição de perfis em que os parâmetros não são devidamente sanitizados, o que leva a ataques XSS armazenados. Um usuário autenticado pode armazenar cargas XSS nos perfis, que são acionadas quando outro usuário acessa a página de edição de perfil. A ferramenta de edição de PDF também possui uma funcionalidade de edição de perfil de PDF com um parâmetro
logoFile que não é devidamente sanitizado, permitindo que os usuários insiram caminhos relativos para acessar arquivos. Ambas as vulnerabilidades exigem que um invasor consiga fazer login na interface de administração do LAM.Recomendações
Para versões anteriores à 7.9.1, atualize para a versão 7.9.1 para resolver o problema.
Como solução alternativa temporária, considere desativar a funcionalidade de edição de perfil e a ferramenta de edição de PDF até que a atualização seja aplicada.
Restrinja o acesso à interface de administração para minimizar o risco de exploração.
Evite usar o parâmetro
logoFile na ferramenta de edição de PDF até que o problema seja resolvido.Exploit
Correção
Path traversal
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ldap Account Manager