CVE-2024-10127: Compatibilidad con la condición de omisión de autenticación en la autenticación LDAP de M-Files
DESCRIPCIÓN
La condición de omisión de autenticación en la autenticación LDAP en las versiones del servidor M-Files anteriores a la 24.11 admitía el uso de configuraciones OpenLDAP que permitían la autenticación del usuario sin contraseña cuando el propio servidor LDAP tenía la configuración vulnerable.
PRODUCTOS AFECTADOS
Servidor M-Files anterior al 24.11
MÁS INFORMACIÓN
El problema se puede solucionar actualizando M-Files Server a una versión parcheada. El problema solo afecta a los clientes que utilizan autenticación LDAP y utilizan un servidor LDAP que admite enlace anónimo. El enlace anónimo no está habilitado de forma predeterminada en los servidores LDAP.
CVSS 4.0 CVSS-BT Puntuación: 9,2
CVSS vectorial: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CWE: CWE-303: Implementación incorrecta del algoritmo de autenticación
CAPEC: Abuso de autenticación CAPEC-114
Identificación interna: 171604
Fecha de emisión: 2024-11-20
EXPLOTABILIDAD
Divulgado públicamente: No
Explotado: No
Probabilidad de explotación: baja – reportada responsablemente
CAMPO DE GOLF
https://www.cve.org/CVERecord?id=CVE-2024-10127
HISTORIA
2024-11-20 Publicado