trouve moi des failles de securité

J’ai trouvé des vulnérabilités publiquement référencées pour LemonLDAP::NG, dont une qui concerne explicitement les versions jusqu’à 2.23.0. Je n’ai pas pu auditer directement le contenu de l’archive jointe, donc la liste ci-dessous repose sur les avis publics disponibles.

Failles pertinentes

• CVE-2026-12804 — Open redirect : une faille d’open redirect existe dans LemonLDAP::NG jusqu’à la version 2.23.0, dans le composant SAML Common Domain Cookie Endpoint, via une mauvaise validation d’un paramètre d’URL.

  • Impact probable : redirection d’utilisateurs vers un site contrôlé par un attaquant, utile pour du phishing ou du contournement de confiance.
  • Priorité : élevée si tu utilises SAML/CDC ou si le portail est exposé publiquement.

• CVE-2023-28862 — Contournement 2FA / sessions AuthBasic : les versions antérieures à 2.16.1 ont une génération faible d’ID de session dans le handler AuthBasic et une mauvaise gestion d’échec pendant la vérification du mot de passe, ce qui peut permettre de contourner la vérification 2FA.

  • Impact : contournement d’authentification forte dans certains scénarios AuthBasic.
  • Priorité : critique seulement si ton déploiement est ancien ou si du code concerné a été réintroduit.

• CVE-2020-24660 — Bypass de contrôle d’accès avec NGINX : LemonLDAP::NG jusqu’à 2.0.8 permettait de contourner des règles d’accès URL sur des Virtual Hosts protégés via des URI non normalisées quand NGINX était utilisé.