SuiteCRM - это программное обеспечение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом и корпоративным кодом. …
SuiteCRM - это программное обеспечение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом и корпоративным кодом. До версий 7.15.1 и 8.9.3 в потоке аутентификации SuiteCRM существует уязвимость LDAP Injection. Приложение не может должным образом дезинфицировать пользовательский ввод, прежде чем встраивать его в поисковый фильтр LDAP. Путем инъекции контрольных символов LDAP, неаутентифицированный злоумышленник может манипулировать логикой запроса, что может привести к обходу аутентификации или раскрытию информации. Версии 7.15.1 и 8.9.3 исправляют выпуск.
Продукт формирует запрос LDAP полностью или частично с использованием внешних входных данных из вышестоящего компонента, но не нейтрализует или некорректно нейтрализует специальные элементы, способные изменить замысленный запрос при передаче нижестоящему компоненту.
https://cwe.mitre.org/data/definitions/90.html →Открыть в коллекции CWE →Злоумышленник манипулирует LDAP-запросом или формирует его специальным образом с целью подрыва безопасности цели. Некоторые приложения используют вводимые пользователем данные для формирования LDAP-запросов, которые затем обрабатываются LDAP-сервером. Например, пользователь может указать своё имя при аутентификации, и оно может быть включено в LDAP-запрос в процессе аутентификации. Злоумышленник может использовать эти данные для внедрения в LDAP-запрос дополнительных команд, способных раскрыть конфиденциальную информацию. Например, ввод символа * в упомянутый запрос может вернуть сведения обо всех пользователях системы. Данная атака во многом схожа с внедрением SQL-кода: она манипулирует запросом для получения дополнительных сведений или принуждения к возврату определённого значения.
https://capec.mitre.org/data/definitions/136.html →Открыть в коллекции CAPEC →