Vulnerabilità: CVE-2020-15259

pannello di amministrazione di ad-ldap-connettore prima versione 5.0.13 non fornisce una protezione CSRF, che, se sfruttata può causare l’esecuzione di codice remoto o perdita di dati riservati. exploit CSRF possono verificare se l’utente visita una pagina web contenente dannoso CSRF payload sulla stessa macchina che ha accesso alla console di amministrazione ad-ldap-connettore tramite un browser. Si può essere interessati se si utilizza la console di amministrazione incluso nelle versioni ad-ldap-connettore <= 5.0.12. Se non si dispone di console di amministrazione ad-ldap-connettore abilitato o non visitare qualsiasi altro URL pubblico, mentre sulla macchina su cui è installato, non si è interessati. Il problema è stato risolto nella versione 5.0.13.


https://github.com/auth0/ad-ldap-connector/security/advisories/GHSA-vx5q-cp9v-427v
https://github.com/auth0/ad-ldap-connector/security/advisories/GHSA-vx5q-cp9v-427v
https://github.com/auth0/ad-ldap-connector/commit/8b793631ec5ecacf63ff3ece23231a9e138ae911
https://github.com/auth0/ad-ldap-connector/commit/8b793631ec5ecacf63ff3ece23231a9e138ae911
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15259


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi