AnswersPublished17 sources
Kritické bezpečnostní chyby v LemonLDAP::NG: Ohroženy jsou tisíce portálů
V LemonLDAP::NG do verze 2.23.0 byla nalezena zranitelnost CVE 2026 12804 – open redirect v SAML Common Domain Cookie Endpointu [8]. Starší verze (před 2.16.1) trpí chybou CVE 2023 28862, která umožňuje obejít dvoufaktorové ověření [1].
416K0
AI Prompt
openai.comCreate a landscape editorial hero image for this Studio Global article: trouve moi des failles de securité. Article summary: J’ai trouvé des vulnérabilités publiquement référencées pour LemonLDAP::NG, dont une qui concerne explicitement les versions jusqu’à 2.23.0.. Topic tags: general web, ai, code, api, security. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
Jaká rizika hrozí uživatelům LemonLDAP::NG?
LemonLDAP::NG je populární open-source systém pro jednotné přihlašování (WebSSO) a správu identit. Pokud ho používáte, měli byste zpozornět. Veřejně známé bezpečnostní chyby, které se ho týkají, sahají od středně závažných až po kritické. Níže uvádíme ty nejdůležitější, které byly zveřejněny.
Nejnovější hrozba: CVE-2026-12804 – Open Redirect (6/2026)
Nejčerstvější a přímo pojmenovaná zranitelnost pro verze až po 2.23.0 je CVE-2026-12804. Jedná se o zranitelnost typu „open redirect“ (CWE-601).
\n
Co to znamená v praxi?\nÚtočník může vytvořit speciálně upravený odkaz, který uživatele z vašeho přihlašovacího portálu přesměruje na podvodnou stránku, kterou sám ovládá. Tato technika je běžně využívána pro phishingové útoky – uživatel si myslí, že je stále na důvěryhodném webu, a zadá své přihlašovací údaje přímo útočníkovi.
Kde je chyba?\nProblém se nachází v komponentě SAML Common Domain Cookie Endpointlemonldap-ng-portal/lib/Lemonldap/NG/Portal/CDC.pm Chyba vznikla nedostatečnou validací argumentu
url. \n
Jak vysoké je riziko?\nI když vývojáři tvrdí, že dopad je velmi nízký, protože „CDC se téměř nepoužívá“ , bezpečnostní experti varují, že pokud máte portál vystavený na internet a používáte SAML, riziko je vysoké.
Veřejně je již známý exploit.
\n
Řešení:\nVývojáři již problém vyřešili a oprava je součástí verze 2.23.1. Důrazně doporučujeme aktualizovat. Do té doby si nastavte striktní seznam (allowlist) povolených domén pro přesměrování.
Další závažné chyby
-
CVE-2023-28862 (Bypass 2FA): Týká se verzí před 2.16.1.
Slabá generace ID sezení v handleru AuthBasic a chybné zacházení s neúspěchem při kontrole hesla umožňuje útočníkům obejít dvoufaktorové ověření (2FA).
\n * Řešení: Okamžitě aktualizujte na verzi 2.16.1 nebo vyšší.
-
CVE-2020-24660 (Bypass řízení přístupu): Týká se starších verzí (do 2.0.8), a to zejména při použití reverzní proxy NGINX.
Odesláním nenormalizovaného URI (např. s lomítky) se útočník může dostat k chráněným zdrojům.
-
CVE-2021-40874 (RESTServer pwdConfirm): Zranitelnost v RESTServeru, kde funkce
pwdConfirmvrací vždytrue(pravda) v určitých konfiguracích.\n * Řešení: Zkontrolujte verzi a konfiguraci handleru RESTServer.
-
CVE-2024-52948 (CSRF na 2FA): Chyba umožňující Cross-Site Request Forgery (CSRF) při registraci nového druhého faktoru (např. TOTP klíče).
Dosud nevyřešeno pro Debian Bullseye.
Co byste měli udělat hned teď?
- Zkontrolujte verzi: Zjistěte, jakou verzi LemonLDAP::NG provozujete.
- Aktualizujte: Pokud používáte verzi nižší než 2.23.1, naplánujte aktualizaci jako prioritu.
- Zkontrolujte konfiguraci: Především parametry pro přesměrování (
url,redirect_uri). - Zkontrolujte NGINX/Apache: Pokud používáte NGINX, prověřte normalizaci URI.
\n
Omezení analýzy
Upozorňujeme, že analýza se opírá výhradně o veřejně dostupné zdroje (CVE databáze). Nebylo provedeno přímé auditování zdrojového kódu, proto nelze vyloučit existenci dalších, dosud nezveřejněných chyb.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
People also ask
What is the short answer to "Kritické bezpečnostní chyby v LemonLDAP::NG: Ohroženy jsou tisíce portálů"?
V LemonLDAP::NG do verze 2.23.0 byla nalezena zranitelnost CVE 2026 12804 – open redirect v SAML Common Domain Cookie Endpointu [8].
What are the key points to validate first?
V LemonLDAP::NG do verze 2.23.0 byla nalezena zranitelnost CVE 2026 12804 – open redirect v SAML Common Domain Cookie Endpointu [8]. Starší verze (před 2.16.1) trpí chybou CVE 2023 28862, která umožňuje obejít dvoufaktorové ověření [1].
What should I do next in practice?
Uživatelé by měli okamžitě zkontrolovat, zda používají zranitelnou verzi, a aplikovat dostupné záplaty [9].
Sources
- feedly.comCVE-2026-12804 - Exploits & Severity - Feedly
- security-tracker.debian.orgCVE-2026-12804 - Security Bug Tracker - Debian
- tenable.comCVE-2026-12804 | Tenable®
- nvd.nist.govCVE-2023-28862 Detail - NVD
- nvd.nist.govCVE-2020-24660 Detail - NVD
- lemonldap-ng.orgUpgrade from 2.x to 2.y¶
- security-tracker.debian.orgInformation on source package lemonldap-ng
- nvd.nist.govNVD
- lemonldap-ng.orgDocumentation
- lemonldap-ng.orgRedirections — LemonLDAP::NG 2.0 documentation
- lemonldap-ng.orgDocumentation
- lists.debian.orgBug#1053219: bookworm-pu: package lemonldap-ng/2.16.1+ds ...
- sentinelone.comCVE-2025-59518: LemonLDAP::NG RCE Vulnerability - SentinelOne
- cve.imfht.comLemonLDAP::NG Vulnerabilities (2 CVEs) | Shenlong CVE Platform
- mondoo.comDEBIAN-CVE-2019-19791 | Mondoo Vulnerability Intelligence
- feedly.comLemonldap-ng | CVEs | Feedly
- opencve.ameos.netLemonldap-ng CVEs and Security Vulnerabilities - OpenCVE
Loading comments...
Comments
0 comments