Vulnérabilité dans le système d'authentification SSO lemonldap-ng
Date de publication :
CVE-2021-35472 [Score CVSS v3 : 8.8 ]
Plusieurs vulnérabilités ont été corrigées au sein de lemonldap-ng. L'exploitation de ces failles peut permettre à un attaquant distant et non-authentifié de s’authentifier de façon illégitime et d’élever ses privilèges sur l'infrastructure vulnérable, notamment lorsque lemonldap-ng est configuré pour augmenter le niveau d'authentification des utilisateurs authentifiés via un second facteur.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
-
Atteinte à la confidentialité des données
Contournement d’authentification
Elévation de privilèges
Criticité
-
Score CVSS v3 : 8.8
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
-
Dans la distribution Debian Buster, les versions antérieures à 2.0.2+ds-7+deb10u6 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour lemonldap-ng vers la version 2.0.2+ds-7+deb10u6 ou ultérieure.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.