В hydrian TTRSS-Auth-LDAP обнаружена уязвимость, классифицированная как проблематичная. Этой проблеме подвержена неизвестная функциональнос…
В hydrian TTRSS-Auth-LDAP обнаружена уязвимость, классифицированная как проблематичная. Этой проблеме подвержена неизвестная функциональность компонента Username Handler. Манипуляция приводит к LDAP-инъекции. Обновление до версии 2.0b1 позволяет решить эту проблему. Патч идентифицирован как a7f7a5a82d9202a5c40d606a5c519ba61b224eb8. Рекомендуется обновить затронутый компонент. VDB-217622 — это идентификатор, присвоенный этой уязвимости.
Продукт формирует запрос LDAP полностью или частично с использованием внешних входных данных из вышестоящего компонента, но не нейтрализует или некорректно нейтрализует специальные элементы, способные изменить замысленный запрос при передаче нижестоящему компоненту.
https://cwe.mitre.org/data/definitions/90.html →Открыть в коллекции CWE →Злоумышленник манипулирует LDAP-запросом или формирует его специальным образом с целью подрыва безопасности цели. Некоторые приложения используют вводимые пользователем данные для формирования LDAP-запросов, которые затем обрабатываются LDAP-сервером. Например, пользователь может указать своё имя при аутентификации, и оно может быть включено в LDAP-запрос в процессе аутентификации. Злоумышленник может использовать эти данные для внедрения в LDAP-запрос дополнительных команд, способных раскрыть конфиденциальную информацию. Например, ввод символа * в упомянутый запрос может вернуть сведения обо всех пользователях системы. Данная атака во многом схожа с внедрением SQL-кода: она манипулирует запросом для получения дополнительных сведений или принуждения к возврату определённого значения.
https://capec.mitre.org/data/definitions/136.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| ttrrs-auth-ldap | * | Отслеживается |