ОтветыОпубликовано4 дня назадLast edited 4 дня назад27 источники

Уязвимости LemonLDAP::NG: что нужно знать администраторам

Обнаружены публично зарегистрированные уязвимости для LemonLDAP::NG, включая CVE 2026 12804, затрагивающую версии до 2.23.0 [8] CVE 2026 12804 — open redirect в компоненте SAML Common Domain Cookie Endpoint: злоумышленник может перенаправить пользователя на вредоносный сайт [8][9] CVE 2023 28862 — уязвимость в AuthB...

Искать и проверять факты с Studio Global AI Смотреть больше популярных страниц

416K0

trouve moi des failles de securitéAI-generated editorial hero image for trouve moi des failles de securité.
Промпт ИИ
Create a landscape editorial hero image for this Studio Global article: trouve moi des failles de securité. Article summary: J’ai trouvé des vulnérabilités publiquement référencées pour LemonLDAP::NG, dont une qui concerne explicitement les versions jusqu’à 2.23.0.. Topic tags: general web, ai, code, api, security. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
openai.com

На основе публичных источников (NVD, Debian Security Tracker, Feedly, Tenable и др.) был составлен перечень наиболее критичных и актуальных уязвимостей для LemonLDAP::NG. Прямой аудит вложенного архива не проводился, поэтому информация основывается на открытых данных.

Основные уязвимости

CVE-2026-12804 — Open Redirect (высокий приоритет)
Уязвимость открытого перенаправления в компоненте
```
SAML Common Domain Cookie Endpoint
```
(файл
```
lemonldap-ng-portal/lib/Lemonldap/NG/Portal/CDC.pm
```
). Из-за некорректной проверки параметра url злоумышленник может перенаправить пользователя на внешний сайт.
Версии: ≤ 2.23.0.
Рекомендация: Немедленно обновитесь до версии 2.23.1, где проблема исправлена. Настройте белый список разрешённых доменов для перенаправлений.
CVE-2025-59518 — OS Command Injection (критический)
Уязвимость внедрения команд ОС в компоненте
```
Safe jail
```
. Аутентифицированный администратор с правом редактирования правил может выполнить произвольные команды на сервере.
Версии: до 2.16.7 и 2.17 – 2.21.3.
Рекомендация: Обновление до версии 2.21.3 или выше.
CVE-2023-28862 — Обход 2FA (высокий)
Слабая генерация ID сессии в AuthBasic handler и некорректная обработка ошибок проверки пароля позволяют обойти двухфакторную аутентификацию.
Версии: до 2.16.1.
Рекомендация: Обновление до версии 2.16.1 или выше.
CVE-2020-24660 — Обход контроля доступа при использовании NGINX (средний)
При передаче нестандартных URI (ненормализованных) можно обойти правила доступа к защищённым виртуальным хостам.
Версии: до 2.0.8 (включая Node.js handler).
Рекомендация: Для NGINX проверьте настройки нормализации URI.
CVE-2024-52948 — CSRF на регистрацию 2FA (средний)
Уязвимость межсайтовой подделки запросов при регистрации второго фактора аутентификации.
Версии: уязвимые пакеты в Debian bullseye.
Рекомендация: Применение обновления безопасности (DSA-5897-1).
CVE-2024-48933 — XSS на странице входа (средний)
Межсайтовый скриптинг через поле username, если userControl допускает специальные HTML-символы.
Версии: до 2.19.3.
Рекомендация: Обновитесь до 2.19.3 или выше.
CVE-2023-44469 — SSRF через OIDC (средний)
Server-Side Request Forgery: возможность отправлять GET-запросы к произвольным URL через параметр request_uri.
Версии: до 2.17.1 (Debian 12).
Рекомендация: Ограничить использование этой функции белым списком.
CVE-2024-52946 — Повышение уровня аутентификации (средний)
Некорректная проверка при обновлении сессии позволяет аутентифицированному пользователю повысить свой уровень аутентификации, если настроено инкрементное правило.
Версии: до 2.20.1.
Рекомендация: Обновитесь до 2.20.1.
CVE-2021-35472 — Повреждение кэша сессий (высокий)
В некоторых сценариях повреждение кэша сессий может привести к обходу авторизации или спуфингу.
Рекомендация: Обновление до версии, в которой исправлена ошибка (следите за ченджлогами).
CVE-2021-35473 — Некорректная проверка времени жизни токена в OAuth2
Уязвимость позволяла использовать токены доступа дольше положенного.
CVE-2021-40874 — RESTServer pwdConfirm всегда возвращает true
При использовании комбинации методов аутентификации (например, Kerberos) функция подтверждения пароля не работала корректно.

Дополнительные уязвимости

CVE-2024-52947 — XSS в плагине Upgrade
CVE-2025-31510 — XSS в модуле Choice
CVE-2019-19791 — Уязвимость в конфигурации Apache по умолчанию
TEMP-0000000-5C6A59 — ID сессии раскрывается в AJAX-ответах портала

Ограничения

Данный отчёт основан исключительно на публичных источниках. Аудит вложенного архива не проводился.
Единственная уязвимость, явно зафиксированная для версии 2.23.0 в предоставленных данных, — это CVE-2026-12804.
Для получения полной картины необходимо провести собственное тестирование и анализ конфигурации.

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

Искать и проверять факты с Studio Global AI

Люди также спрашивают

Каков краткий ответ на вопрос «Уязвимости LemonLDAP::NG: что нужно знать администраторам»?

Обнаружены публично зарегистрированные уязвимости для LemonLDAP::NG, включая CVE 2026 12804, затрагивающую версии до 2.23.0 [8]

Какие ключевые моменты необходимо проверить в первую очередь?

Что мне делать дальше на практике?

CVE 2023 28862 — уязвимость в AuthBasic handler: слабая генерация ID сессии и некорректная обработка ошибок проверки пароля позволяют обойти 2FA [1]

Источники

Comments

0 comments

Loading comments...

← Back to Trending

ОтветыОпубликовано4 дня назадLast edited 4 дня назад27 источники

Уязвимости LemonLDAP::NG: что нужно знать администраторам

Искать и проверять факты с Studio Global AI Смотреть больше популярных страниц

416K0

Основные уязвимости

CVE-2026-12804 — Open Redirect (высокий приоритет)
Уязвимость открытого перенаправления в компоненте
```
SAML Common Domain Cookie Endpoint
```
(файл
```
lemonldap-ng-portal/lib/Lemonldap/NG/Portal/CDC.pm
```
). Из-за некорректной проверки параметра url злоумышленник может перенаправить пользователя на внешний сайт.
Версии: ≤ 2.23.0.
Рекомендация: Немедленно обновитесь до версии 2.23.1, где проблема исправлена. Настройте белый список разрешённых доменов для перенаправлений.
CVE-2025-59518 — OS Command Injection (критический)
Уязвимость внедрения команд ОС в компоненте
```
Safe jail
```
. Аутентифицированный администратор с правом редактирования правил может выполнить произвольные команды на сервере.
Версии: до 2.16.7 и 2.17 – 2.21.3.
Рекомендация: Обновление до версии 2.21.3 или выше.
CVE-2023-28862 — Обход 2FA (высокий)
Слабая генерация ID сессии в AuthBasic handler и некорректная обработка ошибок проверки пароля позволяют обойти двухфакторную аутентификацию.
Версии: до 2.16.1.
Рекомендация: Обновление до версии 2.16.1 или выше.
CVE-2020-24660 — Обход контроля доступа при использовании NGINX (средний)
При передаче нестандартных URI (ненормализованных) можно обойти правила доступа к защищённым виртуальным хостам.
Версии: до 2.0.8 (включая Node.js handler).
Рекомендация: Для NGINX проверьте настройки нормализации URI.
CVE-2024-52948 — CSRF на регистрацию 2FA (средний)
Уязвимость межсайтовой подделки запросов при регистрации второго фактора аутентификации.
Версии: уязвимые пакеты в Debian bullseye.
Рекомендация: Применение обновления безопасности (DSA-5897-1).
CVE-2024-48933 — XSS на странице входа (средний)
Межсайтовый скриптинг через поле username, если userControl допускает специальные HTML-символы.
Версии: до 2.19.3.
Рекомендация: Обновитесь до 2.19.3 или выше.
CVE-2023-44469 — SSRF через OIDC (средний)
Server-Side Request Forgery: возможность отправлять GET-запросы к произвольным URL через параметр request_uri.
Версии: до 2.17.1 (Debian 12).
Рекомендация: Ограничить использование этой функции белым списком.
CVE-2024-52946 — Повышение уровня аутентификации (средний)
Некорректная проверка при обновлении сессии позволяет аутентифицированному пользователю повысить свой уровень аутентификации, если настроено инкрементное правило.
Версии: до 2.20.1.
Рекомендация: Обновитесь до 2.20.1.
CVE-2021-35472 — Повреждение кэша сессий (высокий)
В некоторых сценариях повреждение кэша сессий может привести к обходу авторизации или спуфингу.
Рекомендация: Обновление до версии, в которой исправлена ошибка (следите за ченджлогами).
CVE-2021-35473 — Некорректная проверка времени жизни токена в OAuth2
Уязвимость позволяла использовать токены доступа дольше положенного.
CVE-2021-40874 — RESTServer pwdConfirm всегда возвращает true
При использовании комбинации методов аутентификации (например, Kerberos) функция подтверждения пароля не работала корректно.

Дополнительные уязвимости

CVE-2024-52947 — XSS в плагине Upgrade
CVE-2025-31510 — XSS в модуле Choice
CVE-2019-19791 — Уязвимость в конфигурации Apache по умолчанию
TEMP-0000000-5C6A59 — ID сессии раскрывается в AJAX-ответах портала

Ограничения

Данный отчёт основан исключительно на публичных источниках. Аудит вложенного архива не проводился.
Единственная уязвимость, явно зафиксированная для версии 2.23.0 в предоставленных данных, — это CVE-2026-12804.
Для получения полной картины необходимо провести собственное тестирование и анализ конфигурации.

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

Искать и проверять факты с Studio Global AI

Уязвимости LemonLDAP::NG: что нужно знать администраторам

Основные уязвимости

Дополнительные уязвимости

Рекомендации по защите

Ограничения

Search, cite, and publish your own answer

Люди также спрашивают

Каков краткий ответ на вопрос «Уязвимости LemonLDAP::NG: что нужно знать администраторам»?

Какие ключевые моменты необходимо проверить в первую очередь?

Что мне делать дальше на практике?

Источники

Comments

Уязвимости LemonLDAP::NG: что нужно знать администраторам

Основные уязвимости

Дополнительные уязвимости

Рекомендации по защите

Ограничения

Search, cite, and publish your own answer

Люди также спрашивают

Каков краткий ответ на вопрос «Уязвимости LemonLDAP::NG: что нужно знать администраторам»?

Какие ключевые моменты необходимо проверить в первую очередь?

Что мне делать дальше на практике?

Источники

Comments