PT-2025-41609 · Pypi+4 · Python-Ldap+4

Lukas-Eu

·

Publicado

2025-10-10

·

Atualizado

2026-03-25

·

CVE-2025-61911

CVSS v4.0

6.9

Média

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Versões do python-ldap anteriores à 3.4.5
Descrição O método ldap.filter.escape filter chars no python-ldap pode ser explorado para contornar o escape de caracteres quando uma list ou dict manipulada é fornecida como parâmetro assertion value, e escape mode é definido como 1. Isso pode levar a ataques de injeção de LDAP, potencialmente permitindo a divulgação não autorizada ou manipulação de dados LDAP. O problema ocorre porque o método não garante adequadamente um valor de retorno totalmente escapado nesta configuração específica. O método vulnerável é ldap.filter.escape filter chars.
Recomendações Atualize para a versão 3.4.5 ou posterior do python-ldap.

Exploit

Correção

Type Confusion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-843CWE-75

Identificadores relacionados

AZL-68430
AZL-68451
BDU:2026-02913
CVE-2025-61911
GHSA-R7R6-CC7P-4V5M
OESA-2025-2681
OESA-2025-2682
OESA-2025-2683
OESA-2025-2684
OESA-2025-2685
OESA-2025-2686
OPENSUSE-SU-2025:15637-1
OPENSUSE-SU-2026:20421-1
SUSE-SU-2025:3695-1
SUSE-SU-2025:3714-1
SUSE-SU-2026:20933-1
USN-7828-1

Produtos afetados

Debian
Linuxmint
Red Os
Ubuntu
Python-Ldap