LemonLDAP::NG 安全性漏洞分析 (至 2.23.0 版)

基於公開的弱點資料庫與安全公告，以下是 LemonLDAP::NG 已被揭露的主要安全漏洞分析。注意：此分析未對特定附件進行原始碼審計，所有資訊均來自公開來源。

重點漏洞

CVE-2026-12804 — 開放重定向 (Open Redirect)

• 影響版本：LemonLDAP::NG 直至 2.23.0 版。
• 問題位置：SAML 共用域名 Cookie 端點元件 (CDC.pm) 對 url 參數驗證不當。
• 影響：未經身分驗證的攻擊者可建構惡意 URL，將使用者重定向至任意外部網站，用於釣魚攻擊或繞過信任機制。
• 官方回應：開發團隊已修復此問題，並將於 2.23.1 版釋出。他們同時指出 CDC 功能「極少被使用」，因此認為影響「非常低」。
• 優先級：如果你的系統有啟用 SAML/CDC 功能，或入口網站直接對外公開，則此漏洞的優先級為高。

CVE-2023-28862 — 雙因子認證 (2FA) 繞過

• 影響版本：2.16.1 之前的所有版本。
• 問題位置：AuthBasic 處理器中的弱會話 ID 生成機制，以及密碼驗證失敗時的不當處理。
• 影響：攻擊者可繞過 2FA 驗證。
• 優先級：若你的部署版本老舊，或曾將受影響的程式碼重新引入，則此漏洞的優先級為致命。

CVE-2020-24660 — URL 存取控制繞過 (搭配 NGINX)

• 影響版本：LemonLDAP::NG 直至 2.0.8 版，且使用 NGINX 作為反向代理。
• 問題位置：透過非標準化 URI 繞過受保護虛擬主機的 URL 存取規則。
• 影響：攻擊者有機會存取本應受到保護的資源。
• 優先級：主要影響舊版安裝或使用類似 NGINX 設定情境的系統。

CVE-2025-59518 — 作業系統命令注入 (RCE)

• 影響版本：2.16.7 之前的版本，以及 2.17 至 2.21.3 之間的版本。
• 問題位置：Safe jail 規則評估器中的變數本地化缺陷。
• 影響：擁有編輯 Safe jail 規則權限的已驗證管理員，可在底層作業系統上執行任意命令。
• CVSS 分數：8.0 (高)

CVE-2024-52948 — 2FA 註冊的跨站請求偽造 (CSRF)

• 影響版本：2.20.1 之前的版本。
• 問題位置：2FA 註冊流程缺乏 CSRF 保護。
• 影響：攻擊者可誘騙使用者在其帳號上註冊攻擊者控制的 2FA 設備。

緩解措施與檢查重點

1. 立即更新：將 LemonLDAP::NG 升級至最新穩定版。對於 CVE-2026-12804，請升級至 2.23.1 或更新版本。
2. 檢查重定向處理：審查所有與 url、redirect_uri、return_url 等參數相關的程式碼，並實作嚴格的允許清單，只允許導向預期域名。
3. 檢查 NGINX 設定：若使用 NGINX，確認 URI 正規化邏輯正確，以防止存取控制繞過。
4. 審查 AuthBasic 設定：若啟用 AuthBasic 或雙因子認證，確保未使用受 CVE-2023-28862 影響的版本或程式碼路徑。
5. 限制管理員權限：對於 CVE-2025-59518 等高權限漏洞，應嚴格管控可編輯 Safe jail 規則的管理員帳號。
6. 關注 Debian 安全公告：若使用 Debian 系統，定期追蹤 DSA (Debian Security Advisory) 以獲得修補套件。

注意事項

• 此份清單基於截至 2026 年 6 月的公開資料，新漏洞可能隨時被揭露。
• 上述分析無法替代完整的源碼安全審計。
• 所有提及的 CVE 資訊均來自 NVD、Debian Security Tracker、Tenable、Feedly 等安全平台。 [1, 2, 8, 9, 10, 11, 13]