CVE-2024-52792

Versões do LDAP Account Manager (LAM) anteriores à 9.0

O LDAP Account Manager (LAM) é uma interface web em PHP para gerenciar entradas armazenadas em um diretório LDAP. Nas versões afetadas, o LAM não sanitiza adequadamente os valores de configuração definidos via mainmanage.php e confmain.php, permitindo que um invasor defina valores de configuração arbitrários. Isso pode ser feito inserindo uma nova linha em determinados campos de configuração, seguida pelo valor, efetivamente introduzindo valores de configuração arbitrários em um arquivo de configuração. Os valores são gravados em config.cfg ou serverprofile.conf no formato settingsName: settingsValue, linha por linha.

Para versões anteriores à 9.0, atualize para a versão 9.0 para resolver o problema. Como solução temporária, considere restringir o acesso a mainmanage.php e confmain.php para minimizar o risco de exploração. Evite usar os campos settingsName e settingsValue nos arquivos de configuração afetados até que o problema seja resolvido.