LemonLDAP::NG: Tietoturvahaavoittuvuuksia löydetty – päivitä heti
CVE 2026 12804: Avoin uudelleenohjaushaavoittuvuus versioissa 2.23.0 ja sitä vanhemmissa – käyttäjä voidaan ohjata hyökkääjän hallitsemalle sivustolle. CVE 2023 28862: Heikko istunnon tunniste AuthBasic käsittelijässä ja virheellinen virheenkäsittely mahdollistavat 2FA:n ohituksen versiosta riippuen.
trouve moi des failles de securitéAI-generated editorial hero image for trouve moi des failles de securité.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: trouve moi des failles de securité. Article summary: J’ai trouvé des vulnérabilités publiquement référencées pour LemonLDAP::NG, dont une qui concerne explicitement les versions jusqu’à 2.23.0.. Topic tags: general web, ai, code, api, security. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
openai.com
LemonLDAP::NG on laajalti käytetty avoimen lähdekoodin WebSSO- ja identiteetinhallintaratkaisu. Olemme koonneet tähän artikkeliin julkisesti raportoituja tietoturvahaavoittuvuuksia, joiden tiedetään vaikuttavan palvelimeen versiosta 2.23.0 alkaen. Emme ole voineet tarkistaa liitetiedostoa, joten luettelo perustuu julkisiin tietolähteisiin.
Tärkeimmät haavoittuvuudet
CVE-2026-12804 – Avoin uudelleenohjaus: Haavoittuvuus vaikuttaa LemonLDAP::NG-versioon 2.23.0 ja sitä vanhempiin. Se liittyy SAML Common Domain Cookie -komponenttiin, jossa URL-parametrin validointi on puutteellista.
Mahdollinen vaikutus: Hyökkääjä voi ohjata käyttäjän omalle verkkosivulleen, mikä mahdollistaa tietojen kalastelun tai luottamuksen väärinkäytön.
Prioriteetti: Korkea, jos käytössä on SAML/CDC tai palvelin on julkisesti saatavilla.
CVE-2023-28862 – 2FA:n ohitus AuthBasic-istunnoissa: Versiossa 2.16.1 ja sitä vanhemmissa versioissa AuthBasic-käsittelijän heikko istunnon tunnisteen generointi ja virheellinen virheenkäsittely sallivat 2FA-tarkistuksen ohituksen.
Vaikutus: Vahvan tunnistautumisen ohitus tietyissä skenaarioissa.
Prioriteetti: Kriittinen, jos käytössä on vanha versio tai asiaankuuluvaa koodia on otettu uudelleen käyttöön.
CVE-2020-24660 – Pääsynvalvonnan ohitus NGINX:llä: Versioissa 2.0.8 ja sitä vanhemmissa versioissa NGINX-palvelinta käytettäessä pääsynvalvonnan säännöt suojatuille virtuaalipalvelimille voidaan ohittaa epänormaalilla URI:lla.
Vaikutus: Pääsy suojattuihin resursseihin ilman valtuutusta.
Prioriteetti: Koskee erityisesti vanhoja asennuksia, joissa on NGINX.
CVE-2021-40874 – RESTServer pwdConfirm: Päivitysohjeessa mainitaan CVE-2021-40874, joka liittyy
What is the short answer to "LemonLDAP::NG: Tietoturvahaavoittuvuuksia löydetty – päivitä heti"?
CVE 2026 12804: Avoin uudelleenohjaushaavoittuvuus versioissa 2.23.0 ja sitä vanhemmissa – käyttäjä voidaan ohjata hyökkääjän hallitsemalle sivustolle.
What are the key points to validate first?
CVE 2026 12804: Avoin uudelleenohjaushaavoittuvuus versioissa 2.23.0 ja sitä vanhemmissa – käyttäjä voidaan ohjata hyökkääjän hallitsemalle sivustolle. CVE 2023 28862: Heikko istunnon tunniste AuthBasic käsittelijässä ja virheellinen virheenkäsittely mahdollistavat 2FA:n ohituksen versiosta riippuen.
What should I do next in practice?
CVE 2020 24660: Pääsynvalvonnan ohitus NGINX:llä, jos URI:ta ei ole normalisoitu asianmukaisesti.
Comments
0 comments