W aplikacji Linqi w wersjach przed 1.4.0.1 działających na systemie Windows wykryto podatność typu LDAP injection. Podatność ta umożliwia nieuwierzytelnionemu atakującemu zdalne manipulowanie zapytaniami LDAP, co może prowadzić do nieautoryzowanego dostępu do danych lub przejęcia kontroli nad systemem.
▸ Pokaż oryginał (EN)
An issue was discovered in linqi before 1.4.0.1 on Windows. There is LDAP injection.
LDAP injection (CWE-90) polega na tym, że dane wejściowe dostarczane przez użytkownika nie są odpowiednio filtrowane ani eskejpowane przed włączeniem ich do zapytań LDAP. Atakujący może spreparować złośliwe dane wejściowe, które zmodyfikują logikę zapytania LDAP wysyłanego przez aplikację do serwera katalogowego. W efekcie możliwe jest ominięcie mechanizmów uwierzytelniania, uzyskanie dostępu do nieautoryzowanych zasobów lub odczyt wrażliwych danych z katalogu LDAP. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w katalogu LDAP, ominąć mechanizmy uwierzytelniania oraz potencjalnie zmodyfikować dane lub naruszyć integralność i dostępność systemu (CVSS C:H/I:H/A:H).
Należy zaktualizować aplikację Linqi do wersji 1.4.0.1 lub nowszej. Szczegółowe informacje o aktualizacji zabezpieczeń dostępne są w dokumentacji producenta pod adresem https://linqi.help/Updates/en#/SecurityUpdates.
Aplikacja Linqi w wersjach przed 1.4.0.1 działająca na systemie Microsoft Windows.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLinqi
APPLinqi< 1.4.0.1Microsoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit