Podatność CVE-2017-8028


Publikacja: 2017-11-27

Opis:
In Pivotal Spring-LDAP versions 1.3.0 - 2.3.1, when connected to some LDAP servers, when no additional attributes are bound, and when using LDAP BindAuthenticator with org.springframework.ldap.core.support.DefaultTlsDirContextAuthenticationStrategy as the authentication strategy, and setting userSearch, authentication is allowed with an arbitrary password when the username is correct. This occurs because some LDAP vendors require an explicit operation for the LDAP bind to take effect.

Typ:

CWE-287

(Improper Authentication)

CVSS2 => (AV:N/AC:H/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
5.1/10
6.4/10
4.9/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Wysoka
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Pivotal software -> Spring-ldap 
Debian -> Debian linux 

 Referencje:
https://access.redhat.com/errata/RHSA-2018:0319
https://lists.debian.org/debian-lts-announce/2017/11/msg00026.html
https://pivotal.io/security/cve-2017-8028
https://www.debian.org/security/2017/dsa-4046

Copyright 2022, cxsecurity.com

 

Back to Top