Moduł Mendix LDAP w wersjach poniżej V1.1.2 jest podatny na LDAP injection. Nieuwierzytelniony zdalny atakujący może ominąć weryfikację nazwy użytkownika, co stanowi poważne zagrożenie dla bezpieczeństwa uwierzytelniania.
▸ Pokaż oryginał (EN)
A vulnerability has been identified in Mendix LDAP (All versions < V1.1.2). Affected versions of the module are vulnerable to LDAP injection. This could allow an unauthenticated remote attacker to bypass username verification.
Podatność wynika z nieprawidłowej walidacji lub braku odpowiedniego escapowania danych wejściowych przekazywanych do zapytań LDAP (CWE-90). Atakujący może spreparować złośliwe dane wejściowe zawierające specjalne znaki sterujące LDAP, które modyfikują logikę zapytania do katalogu. Dzięki temu możliwe jest obejście mechanizmu weryfikacji nazwy użytkownika bez znajomości prawidłowych poświadczeń. Atak nie wymaga wcześniejszego uwierzytelnienia ani interakcji po stronie użytkownika.
Atakujący może ominąć weryfikację tożsamości użytkownika, co może prowadzić do nieuprawnionego dostępu do zasobów chronionych mechanizmem uwierzytelniania opartym na LDAP. Skutkuje to naruszeniem poufności oraz integralności danych dostępnych po zalogowaniu.
Należy zaktualizować moduł Mendix LDAP do wersji V1.1.2 lub nowszej. Szczegółowe informacje dostępne w biuletynie Siemens ProductCERT pod adresem: https://cert-portal.siemens.com/productcert/html/ssa-314390.html
Mendix LDAP — wszystkie wersje poniżej V1.1.2
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X