Vulnérabilité dans le système d'authentification SSO lemonldap-ng
Date de publication :
CVE-2021-35472 [Score CVSS v3 : 8.8 ]
Plusieurs vulnérabilités ont été corrigées au sein de lemonldap-ng. L'exploitation de ces failles peut permettre à un attaquant distant et non-authentifié de s’authentifier de façon illégitime et d’élever ses privilèges sur l'infrastructure vulnérable, notamment lorsque lemonldap-ng est configuré pour augmenter le niveau d'authentification des utilisateurs authentifiés via un second facteur.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Atteinte à la confidentialité des données
- Contournement d’authentification
- Elévation de privilèges
Criticité
- Score CVSS v3 : 8.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Dans la distribution Debian Buster, les versions antérieures à 2.0.2+ds-7+deb10u6 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour lemonldap-ng vers la version 2.0.2+ds-7+deb10u6 ou ultérieure.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.