CRITICAL🇬🇧 English

CVE-2024-56841

LDAP injection w Mendix LDAP umożliwia ominięcie weryfikacji użytkownika

CVSS 9.1v4.0pub. 2025-01-14upd. 2026-04-15

Moduł Mendix LDAP w wersjach poniżej V1.1.2 jest podatny na LDAP injection. Nieuwierzytelniony zdalny atakujący może ominąć weryfikację nazwy użytkownika, co stanowi poważne zagrożenie dla bezpieczeństwa uwierzytelniania.

Pokaż oryginał (EN)

A vulnerability has been identified in Mendix LDAP (All versions < V1.1.2). Affected versions of the module are vulnerable to LDAP injection. This could allow an unauthenticated remote attacker to bypass username verification.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej walidacji lub braku odpowiedniego escapowania danych wejściowych przekazywanych do zapytań LDAP (CWE-90). Atakujący może spreparować złośliwe dane wejściowe zawierające specjalne znaki sterujące LDAP, które modyfikują logikę zapytania do katalogu. Dzięki temu możliwe jest obejście mechanizmu weryfikacji nazwy użytkownika bez znajomości prawidłowych poświadczeń. Atak nie wymaga wcześniejszego uwierzytelnienia ani interakcji po stronie użytkownika.

Skutki

Atakujący może ominąć weryfikację tożsamości użytkownika, co może prowadzić do nieuprawnionego dostępu do zasobów chronionych mechanizmem uwierzytelniania opartym na LDAP. Skutkuje to naruszeniem poufności oraz integralności danych dostępnych po zalogowaniu.

Mitygacja

Należy zaktualizować moduł Mendix LDAP do wersji V1.1.2 lub nowszej. Szczegółowe informacje dostępne w biuletynie Siemens ProductCERT pod adresem: https://cert-portal.siemens.com/productcert/html/ssa-314390.html

Kogo dotyczy

Mendix LDAP — wszystkie wersje poniżej V1.1.2

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje