Podatność typu LDAP Injection w Apache OFBiz pozwala nieuwierzytelnionemu atakującemu zdalnie manipulować zapytaniami LDAP. Wysoki wynik CVSS 9.1 oraz brak wymagań co do uprawnień i interakcji użytkownika czynią tę podatność szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') vulnerability in Apache OFBiz. This issue affects Apache OFBiz: before 24.09.06. Users are recommended to upgrade to version 24.09.06, which fixes the issue.
Luka wynika z nieprawidłowej neutralizacji znaków specjalnych wykorzystywanych w zapytaniach LDAP (CWE-90). Atakujący może wstrzyknąć złośliwie spreparowane dane wejściowe, które zmodyfikują logikę zapytania LDAP wysyłanego przez aplikację. W efekcie możliwe jest ominięcie mechanizmów uwierzytelniania lub uzyskanie dostępu do danych przechowywanych w katalogu LDAP. Atak może być przeprowadzony zdalnie, przez sieć, bez konieczności posiadania jakichkolwiek uprawnień.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych (naruszenie poufności) oraz manipulować danymi w katalogu LDAP lub logice aplikacji (naruszenie integralności).
Należy zaktualizować Apache OFBiz do wersji 24.09.06 lub nowszej, która zawiera poprawkę eliminującą opisaną podatność.
Apache OFBiz w wersjach wcześniejszych niż 24.09.06
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NApache Ofbiz
APPApache< 24.09.06
Powiązane podatności
Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację
Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu
Apache OFBiz — Auth Bypass i RCE poprzez błąd logiki zmiany hasła
Apache OFBiz — użycie zakodowanego na stałe klucza kryptograficznego
Apache OFBiz: Code Injection w pluginie scrum umożliwia RCE