PT-2025-40512 · Ldap+2 · Ldap+2
Vladislav Volozhenko
·
Publicado
2025-10-03
·
Atualizado
2025-11-05
·
CVE-2025-27231
CVSS v2.0
6.1
Média
| Vetor | AV:N/AC:L/Au:M/C:C/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões anteriores à correção na qual o valor 'Bind password' é redefinido ao alterar o 'Host'.
Descrição
Uma conta de Super Admin pode potencialmente vazar o valor da 'Bind password' do LDAP ao alterar o 'Host' do LDAP para um servidor LDAP malicioso. O valor da 'Bind password' não pode ser lido após o salvamento, mas essa manipulação permite acesso não autorizado. O problema é mitigado redefinindo o valor da 'Bind password' quando o 'Host' é alterado.
Recomendações
Garantir que o valor da 'Bind password' seja redefinido ao alterar o 'Host'.
Correção
Information Disclosure
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Ldap
Red Os