PT-2024-19815 · Unknown+1 · Ldap Account Manager+1
Maik-S
·
Publicado
2024-03-18
·
Atualizado
2025-12-23
·
CVE-2024-23333
CVSS v3.1
7.9
Alta
| Vetor | AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões do LDAP Account Manager (LAM) anteriores à 8.7
Descrição
O LDAP Account Manager (LAM) é uma interface web para gerenciar entradas armazenadas em um diretório LDAP. A configuração de log do LAM permite especificar caminhos arbitrários para arquivos de log. Um invasor poderia explorar essa vulnerabilidade criando um arquivo PHP e fazendo com que o LAM registrasse algum código PHP nesse arquivo. Quando o arquivo fosse acessado pela web, o código seria executado. A vulnerabilidade é mitigada pelo seguinte: um invasor precisa saber a senha de configuração mestre do LAM para alterar as configurações principais, e o servidor web precisa de acesso de gravação a um diretório acessível pela web. O próprio LAM não fornece nenhum diretório desse tipo.
Recomendações
Como solução temporária, considere limitar o acesso às páginas de configuração do LAM a usuários autorizados.
Atualize para a versão 8.7 ou posterior para resolver o problema.
Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Ldap Account Manager