Lemonldap\
Уязвимости
13
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.02798
Распределение по критичности
Критический
6
Высокий
4
Средний
3
Низкий
0
Затронутые диапазоны версий
2.0.0–2.0.5< 1.9.20< 2.0.15< 2.0.7< 2.16.1< 2.17.1< 2.19.3≤ 1.2.2≤ 2.0.11≤ 2.0.8
Также сопоставлено как (исходные строки): lemonldap::ng,lemonldap::,lemonldap::ng_handler
Топ уязвимостей
CVE-2023-28862В LemonLDAP::NG до 2.16.1 обнаружена проблема. Слабая генерация идентификаторов сеансов в обработчике AuthBasic и неправильная обработка ошибок при проверке пароля позволяют злоумышленникам обойти двухфакторную аутентификацию. Любой плагин, который пытается запретить создание сеанса после этапа хранения, не запрещает сеанс AuthBasic.
CVE-2021-40874Проблема обнаружена в LemonLDAP::NG (aka lemonldap-ng) 2.0.13. При использовании подключаемого модуля RESTServer для управления службой проверки паролей REST (например, для другого экземпляра LemonLDAP::NG) и использовании метода аутентификации Kerberos в сочетании с другим методом с подключаемым модулем аутентификации Combination любой пароль будет распознан как действительный для существующего пользователя.
CVE-2020-24660В LemonLDAP::NG до версии 2.0.8, когда используется NGINX, обнаружена проблема. Злоумышленник может обойти контроль доступа на основе URL-адресов к защищенным виртуальным хостам, отправив ненормализованный URI. Это также влияет на версии до 0.5.2 пакета "Lemonldap::NG handler for Node.js".
CVE-2019-19791В LemonLDAP::NG (также известном как lemonldap-ng) до версии 2.0.7 конфигурация Apache HTTP Server по умолчанию не ограничивает должным образом доступ к конечным точкам SOAP/REST (когда используются некоторые параметры настройки LemonLDAP::NG). Например, злоумышленник может вставить index.fcgi/index.fcgi в URL-адрес, чтобы обойти директиву Require.
CVE-2019-15941OpenID Connect Issuer в LemonLDAP::NG версий 2.x до 2.0.5 может позволить злоумышленнику обойти правила контроля доступа через специально созданный запрос авторизации OpenID Connect. Чтобы быть уязвимым, в конфигурации LemonLDAP должна существовать сторона, передающая OIDC, с более слабыми правилами контроля доступа, чем целевая RP, и без фильтрации URI перенаправления.
CVE-2019-12046LemonLDAP::NG -2.0.3 имеет неправильный контроль доступа.
CVE-2021-35472В LemonLDAP::NG до версии 2.0.12 обнаружена проблема. Повреждение кеша сессий может привести к обходу авторизации или подделке. Запустив цикл, который делает много попыток аутентификации, злоумышленник может попеременно проходить аутентификацию как один из двух разных пользователей.
CVE-2019-13031LemonLDAP::NG до версии 1.9.20 имеет проблему XML External Entity (XXE) при отправке уведомления на сервер уведомлений. По умолчанию сервер уведомлений не включен и имеет правило "deny all".
CVE-2020-16093В LemonLDAP::NG (aka lemonldap-ng) до версии 2.0.8 проверка подлинности сертификата X.509 не проверяется по умолчанию при подключении к удаленным серверам LDAP, поскольку используется конфигурация по умолчанию модуля Net::LDAPS для Perl.
CVE-2012-6426LemonLDAP::NG до версии 1.2.3 не использует функцию проверки подписи библиотеки Lasso, что позволяет удаленным злоумышленникам обходить предполагаемые ограничения контроля доступа через специально созданные данные SAML.
CVE-2024-48933Уязвимость межсайтового скриптинга (XSS) в LemonLDAP::NG до версии 2.19.3 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML в страницу входа через имя пользователя, если userControl установлено в значение, отличное от значения по умолчанию, которое разрешает специальные HTML-символы.
CVE-2022-37186В LemonLDAP::NG до 2.0.15 некоторые сеансы не удаляются, когда они должны быть удалены в соответствии с настройкой timeoutActivity. Это может произойти, когда есть как минимум два сервера, и сеанс удаляется вручную до времени, когда он должен был быть удален автоматически.
CVE-2023-44469Проблема Server-Side Request Forgery в OpenID Connect Issuer в LemonLDAP::NG до версии 2.17.1 позволяет аутентифицированным удаленным злоумышленникам отправлять GET-запросы на произвольные URL-адреса через параметр авторизации request_uri. Это похоже на CVE-2020-10770.