PT-2022-3280 · Php+1 · Php Openssl Extension+1
Arseniy Sharoglazov
·
Publicado
2022-06-16
·
Atualizado
2023-06-29
·
CVE-2022-31085
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do LDAP Account Manager anteriores à 8.0
Descrição
O problema está relacionado à falta de proteção de informações confidenciais no aplicativo web LDAP Account Manager. A exploração dessa vulnerabilidade pode permitir que um invasor obtenha credenciais de autenticação LDAP. O problema ocorre quando a extensão PHP OpenSSL não está instalada ou a criptografia está desativada na configuração, fazendo com que os arquivos de sessão incluam o nome de usuário e a senha LDAP em texto simples.
Recomendações
Para versões anteriores à 8.0, instale a extensão PHP OpenSSL e certifique-se de que a criptografia de sessão esteja habilitada na configuração principal do LAM.
Para versões anteriores à 8.0 nas quais não é possível realizar uma atualização, instale a extensão PHP OpenSSL e certifique-se de que a criptografia de sessão esteja habilitada na configuração principal do LAM.
Atualize para a versão 8.0 ou posterior para resolver o problema.
Exploit
Correção
Missing Encryption of Sensitive Data
Insufficiently Protected Credentials
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ldap Account Manager
Php Openssl Extension