Python-ldap
Уязвимости
3
Эксплуатируемые
0
Макс. CVSS
6.5
Макс. EPSS
0.01701
Распределение по критичности
Критический
0
Высокий
0
Средний
3
Низкий
0
Также сопоставлено как (исходные строки): python-ldap
Топ уязвимостей
CVE-2021-46823python-ldap до версии 3.4.0 уязвим к отказу в обслуживании, когда ldap.schema используется для ненадежных определений схемы из-за ошибки отказа в обслуживании регулярных выражений (ReDoS) в анализаторе схемы LDAP. Отправляя специально созданные входные данные регулярного выражения, удаленный прошедший проверку подлинности злоумышленник может использовать эту уязвимость для вызова состояния отказа в обслуживании.
CVE-2025-61912Python-ldap - это легкий клиентский API протокола доступа к каталогам (LDAP) для Python. В версиях до 3.4.5, ldap.dn.escape_dn_chars() неправильно убегает, излучая обратный удар, за которым следует буквальный байт NUL вместо формы RFC-4514 hex. Любое приложение, которое использует этот помощник для построения DN из ненадежных входных данных, может быть сделано для последовательного отказа, прежде чем запрос будет отправлен на сервер LDAP (например, AD), что приведет к отказу в обслуживании со стороны клиента. Версия 3.4.5 содержит патч для выпуска.
CVE-2025-61911Python-ldap - это легкий клиентский API протокола доступа к каталогам (LDAP) для Python. В версиях до 3.4.5 метод дезинфекции `ldap.filter.escape_filter_chars` может быть обманут, чтобы пропустить выход из специальных символов, когда созданный `list` или `dict` поставляется в качестве параметра `assertion_value`, а не по умолчанию `escape_mode=1` Метод `ldap.filter.escape_filter_chars` поддерживает 3 различных режима утешивания. `escape_mode=0` (по умолчанию) и `escape_mode=2` возникают исключения, когда объект «Список» или «dict`» поставляется в качестве параметра `sertion_value`. Однако `escape_mode=1` вычисляет, не выполняя адекватную логику, чтобы обеспечить полностью избежавую стоимость возврата. Если приложение полагается на уязвимый метод в библиотеке «python-ldap», чтобы избежать ненадежного пользовательского ввода, злоумышленник может злоупотреблять уязвимостью для запуска атак на инъекции, которые потенциально могут раскрывать или манипулировать данными, предназначенными для них. Версия 3.4.5 устраняет проблему, добавляя проверку типа в начале метода `ldap.filter.escape_fter_chars` для включения исключения, когда поставленный параметр `ssertion_value` не тип `str`.