Знайдені критичні вразливості в LemonLDAP::NG: відкрите перенаправлення та обхід 2FA
У LemonLDAP::NG виявлено вразливість CVE 2026 12804 — відкрите перенаправлення (open redirect) у компоненті SAML Common Domain Cookie, що дозволяє перенаправляти користувачів на шкідливі сайти. CVE 2023 28862 дозволяє обхід двофакторної автентифікації через слабку генерацію ID сесії в обробнику AuthBasic у версіях д...
trouve moi des failles de securitéAI-generated editorial hero image for trouve moi des failles de securité.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: trouve moi des failles de securité. Article summary: J’ai trouvé des vulnérabilités publiquement référencées pour LemonLDAP::NG, dont une qui concerne explicitement les versions jusqu’à 2.23.0.. Topic tags: general web, ai, code, api, security. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
openai.com
На основі публічних джерел було проаналізовано вразливості системи єдиного входу (SSO) LemonLDAP::NG. Нижче наведено основні знайдені проблеми безпеки та рекомендації щодо їх усунення.
Основні знайдені вразливості
CVE-2026-12804 — Відкрите перенаправлення (Open Redirect)
Вразливість існує в LemonLDAP::NG до версії 2.23.0 у компоненті SAML Common Domain Cookie Endpoint. Неправильна валідація параметра url дозволяє зловмиснику створити шкідливе посилання, яке перенаправляє користувача на зовнішній сайт під його контролем. Пріоритет: високий, якщо використовується SAML/CDC або портал доступний публічно.
CVE-2023-28862 — Обхід 2FA / слабкість сесій AuthBasic
У версіях до 2.16.1 виявлено слабку генерацію ID сесії в обробнику AuthBasic та неправильну обробку помилок під час перевірки пароля. Це дозволяє атакувати двофакторну автентифікацію. Пріоритет: критичний для старих версій (до 2.16.1).
CVE-2020-24660 — Обхід контролю доступу з NGINX
У версіях до 2.0.8 використання некоректно нормалізованих URI дозволяло обходити правила доступу на захищених віртуальних хостах при використанні NGINX. Пріоритет: актуально для застарілих інсталяцій або конфігурацій, подібних до NGINX.
CVE-2021-40874 — RESTServer pwdConfirm
Документація з оновлення вказує, що функція
RESTServer pwdConfirm
завжди повертає true у певних комбінаціях, що може призвести до неправильної перевірки підтвердження пароля.
Рекомендації щодо виправлення
Для CVE-2026-12804: налаштуйте суворий білий список (allowlist) доменів для перенаправлень та відхиляйте неочікувані абсолютні зовнішні URL.
Якщо ви використовуєте NGINX, перевірте нормалізацію URI перед застосуванням правил авторизації.
Якщо увімкнено AuthBasic або 2FA, переконайтеся, що ви не використовуєте версію, яку зачіпає CVE-2023-28862.
Регулярно оновлюйте LemonLDAP::NG до останньої стабільної версії (виправлення для CVE-2026-12804 очікується у версії 2.23.1 ).
Обмеження аналізу
Недостатньо доказів, щоб стверджувати, що архів містить нову неопубліковану вразливість.
Єдина вразливість, явно пов'язана з версією 2.23.0, — це CVE-2026-12804.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Знайдені критичні вразливості в LemonLDAP::NG: відкрите перенаправлення та обхід 2FA"?
У LemonLDAP::NG виявлено вразливість CVE 2026 12804 — відкрите перенаправлення (open redirect) у компоненті SAML Common Domain Cookie, що дозволяє перенаправляти користувачів на шкідливі сайти.
What are the key points to validate first?
У LemonLDAP::NG виявлено вразливість CVE 2026 12804 — відкрите перенаправлення (open redirect) у компоненті SAML Common Domain Cookie, що дозволяє перенаправляти користувачів на шкідливі сайти. CVE 2023 28862 дозволяє обхід двофакторної автентифікації через слабку генерацію ID сесії в обробнику AuthBasic у версіях до 2.16.1.
What should I do next in practice?
CVE 2020 24660 надає можливість обходу контролю доступу на захищених віртуальних хостах при використанні NGINX через некоректну обробку URI.
Comments
0 comments