Vulnérabilité dans LDAP Account Manager
Date de publication :
LDAP Account Manager (LAM) est une interface Web open source pour la gestion des entrées stockées dans un annuaire LDAP.
CVE-2022-24851[Score CVSS v3.1 : 8.1] élevé
Le produit LDAP Account Manager est vulnérable aux scripts intersites, causés par une mauvaise validation de l'entrée fournie par l'utilisateur par la fonctionnalité de modification de profil. Un attaquant authentifié à distance pourrait exploiter cette vulnérabilité pour injecter un script malveillant dans une page Web (attaque XSS) qui serait exécuté dans le navigateur Web d'une victime. Une fois la page visualisée, un attaquant pourrait utiliser cette vulnérabilité pour voler les identifiants d'authentification basés sur les cookies de la victime.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Usurpation d’identité / compte
Criticité
- Score CVSS v3.1: 8.1 (élevé)
La faille est activement exploitée
- Non, mais une preuve de concept est disponible en sources ouvertes
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
La vulnérabilité exploitée est du type
Détails sur l’exploitation
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Elevé.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Composants vulnérables
Les composants affectés par cette vulnérabilité sont les suivants :
- Les versions antérieures à la version LAM 7.9.1
Solutions ou recommandations
- Mettre à jour le produit vers la version 7.9.1
- Une vigilance accrue des utilisateurs quant aux publicités sur les pages web, aux pop-ups et aux urls contenues dans les mails doit être maintenue.