คำตอบเผยแพร่แล้ว14 แหล่งที่มา
แฮกเกอร์จ้อง! เปิดช่องโหว่ความปลอดภัย LemonLDAP::NG ที่คุณต้องอัปเดตด่วน
พบช่องโหว่ Open Redirect ใน LemonLDAP::NG ถึงเวอร์ชัน 2.23.0 (CVE 2026 12804) ในส่วนประกอบ SAML Common Domain Cookie Endpoint [8] ช่องโหว่ CVE 2023 28862 ใน AuthBasic handler ก่อนเวอร์ชัน 2.16.1 ทำให้สามารถ bypass การยืนยันตัวตน 2FA ได้ [1] CVE 2020 24660 เปิดทางให้ bypass การควบคุมการเข้าถึง URL เมื่อใช้ NGINX ร่วม...
416K0
AI พรอมต์
openai.comCreate a landscape editorial hero image for this Studio Global article: trouve moi des failles de securité. Article summary: J’ai trouvé des vulnérabilités publiquement référencées pour LemonLDAP::NG, dont une qui concerne explicitement les versions jusqu’à 2.23.0.. Topic tags: general web, ai, code, api, security. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
พบช่องโหว่ด้านความปลอดภัยที่ถูกเปิดเผยต่อสาธารณะหลายรายการสำหรับ LemonLDAP::NG โดยเฉพาะหนึ่งในนั้นกระทบถึงเวอร์ชัน 2.23.0 โดยตรง อย่างไรก็ตาม ไม่สามารถตรวจสอบเนื้อหาภายในไฟล์แนบที่ส่งมาได้โดยตรง รายการด้านล่างนี้จึงอ้างอิงจากประกาศด้านความปลอดภัยที่เปิดเผยต่อสาธารณะเท่านั้น
ช่องโหว่ที่เกี่ยวข้อง
-
CVE-2026-12804 — Open Redirect: มีช่องโหว่แบบ Open Redirect ใน LemonLDAP::NG ถึงเวอร์ชัน 2.23.0 ซึ่งอยู่ในส่วนประกอบ SAML Common Domain Cookie Endpoint เกิดจากการตรวจสอบค่าพารามิเตอร์ URL ที่ไม่ถูกต้อง
- ผลกระทบที่คาดว่า: ผู้โจมตีสามารถเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่ตนควบคุม ใช้สำหรับฟิชชิงหรือหลีกเลี่ยงความเชื่อถือ
- ลำดับความสำคัญ: สูง หากคุณใช้ SAML/CDC หรือพอร์ทัลถูกเปิดเผยต่อสาธารณะ
- ผลกระทบที่คาดว่า: ผู้โจมตีสามารถเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่ตนควบคุม ใช้สำหรับฟิชชิงหรือหลีกเลี่ยงความเชื่อถือ
-
CVE-2023-28862 — การหลบเลี่ยง 2FA / เซสชัน AuthBasic: เวอร์ชันก่อน 2.16.1 มีการสร้าง ID เซสชันที่อ่อนแอใน AuthBasic handler และการจัดการข้อผิดพลาดที่ไม่ถูกต้องระหว่างการตรวจสอบรหัสผ่าน ซึ่งอาจทำให้สามารถหลบเลี่ยงการยืนยันตัวตน 2FA ได้
- ผลกระทบ: การหลบเลี่ยงการยืนยันตัวตนที่รัดกุมในบางสถานการณ์ของ AuthBasic
- ลำดับความสำคัญ: วิกฤตเฉพาะในกรณีที่ระบบของคุณเป็นเวอร์ชันเก่าหรือมีโค้ดที่เกี่ยวข้องถูกนำกลับมาใช้
- ผลกระทบ: การหลบเลี่ยงการยืนยันตัวตนที่รัดกุมในบางสถานการณ์ของ AuthBasic
-
CVE-2020-24660 — การหลบเลี่ยงการควบคุมการเข้าถึงเมื่อใช้ NGINX: LemonLDAP::NG ถึงเวอร์ชัน 2.0.8 อนุญาตให้หลบเลี่ยงกฎการเข้าถึง URL บน Virtual Hosts ที่ได้รับการป้องกันผ่าน URI ที่ไม่ normalize เมื่อใช้ NGINX
- ผลกระทบ: สามารถเข้าถึงทรัพยากรที่ได้รับการป้องกันแม้จะมีกฎ URL อยู่
- ลำดับความสำคัญ: เกี่ยวข้องเป็นพิเศษกับระบบที่ใช้ NGINX และติดตั้งเวอร์ชันเก่า
- ผลกระทบ: สามารถเข้าถึงทรัพยากรที่ได้รับการป้องกันแม้จะมีกฎ URL อยู่
-
CVE-2021-40874 — RESTServer pwdConfirm: เอกสารการอัปเกรดกล่าวถึง CVE-2021-40874 ที่เกี่ยวข้องกับ
RESTServer pwdConfirm- ผลกระทบ: เสี่ยงต่อการยืนยันรหัสผ่านที่ไม่ถูกต้องตามการกำหนดค่า
- ผลกระทบ: เสี่ยงต่อการยืนยันรหัสผ่านที่ไม่ถูกต้องตามการกำหนดค่า
สิ่งที่ควรตรวจสอบในโค้ด/คอนฟิกของคุณ
- ตรวจสอบการจัดการ redirect โดยเฉพาะพารามิเตอร์ประเภท
url,redirect_uri,return_urlหรือสิ่งที่คล้ายกันที่เกี่ยวข้องกับ SAML/CDC - สำหรับ CVE-2026-12804 ให้ใช้บัญชีขาว (allowlist) ที่เข้มงวดสำหรับโดเมนที่อนุญาตให้ redirect และปฏิเสธ URL สัมบูรณ์ภายนอกที่ไม่คาดคิด
- หากใช้ NGINX ให้ตรวจสอบการ normalize URI ก่อนใช้กฎการอนุญาต
- หากเปิดใช้งาน AuthBasic หรือ 2FA ให้ตรวจสอบว่าคุณไม่ได้ใช้เวอร์ชันหรือโค้ดพาธที่ได้รับผลกระทบจาก CVE-2023-28862
ข้อจำกัด
- หลักฐานไม่เพียงพอที่จะยืนยันว่าไฟล์แนบที่แนบมามีช่องโหว่ใหม่ที่ยังไม่ถูกเปิดเผย
- ช่องโหว่เดียวที่เชื่อมโยงกับเวอร์ชัน 2.23.0 อย่างชัดเจนจากผลลัพธ์ที่ให้มาคือ CVE-2026-12804
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
คนยังถาม
คำตอบสั้น ๆ สำหรับ "แฮกเกอร์จ้อง! เปิดช่องโหว่ความปลอดภัย LemonLDAP::NG ที่คุณต้องอัปเดตด่วน" คืออะไร
พบช่องโหว่ Open Redirect ใน LemonLDAP::NG ถึงเวอร์ชัน 2.23.0 (CVE 2026 12804) ในส่วนประกอบ SAML Common Domain Cookie Endpoint [8]
ประเด็นสำคัญที่ต้องตรวจสอบก่อนคืออะไร?
พบช่องโหว่ Open Redirect ใน LemonLDAP::NG ถึงเวอร์ชัน 2.23.0 (CVE 2026 12804) ในส่วนประกอบ SAML Common Domain Cookie Endpoint [8] ช่องโหว่ CVE 2023 28862 ใน AuthBasic handler ก่อนเวอร์ชัน 2.16.1 ทำให้สามารถ bypass การยืนยันตัวตน 2FA ได้ [1]
ฉันควรทำอย่างไรต่อไปในทางปฏิบัติ?
CVE 2020 24660 เปิดทางให้ bypass การควบคุมการเข้าถึง URL เมื่อใช้ NGINX ร่วมกับเวอร์ชันเก่า [2]
แหล่งที่มา
- feedly.comCVE-2026-12804 - Exploits & Severity - Feedly
- nvd.nist.govCVE-2023-28862 Detail - NVD
- nvd.nist.govCVE-2020-24660 Detail - NVD
- lemonldap-ng.orgUpgrade from 2.x to 2.y¶
- nvd.nist.govNVD
- lemonldap-ng.orgDocumentation
- lemonldap-ng.orgRedirections — LemonLDAP::NG 2.0 documentation
- lemonldap-ng.orgDocumentation
- security-tracker.debian.orgCVE-2026-12804 - Security Bug Tracker - Debian
- tenable.comCVE-2026-12804 | Tenable®
- security-tracker.debian.orgInformation on source package lemonldap-ng
- lists.debian.orgBug#1053219: bookworm-pu: package lemonldap-ng/2.16.1+ds ...
- sentinelone.comCVE-2025-59518: LemonLDAP::NG RCE Vulnerability - SentinelOne
- cve.imfht.comLemonLDAP::NG Vulnerabilities (2 CVEs) | Shenlong CVE Platform
Loading comments...
Comments
0 comments