Apache ManifoldCF-LDAP注入漏洞(CVE-2022-45910)漏洞预警(无CNNVD编号)

近日，博智安全观测到Apache基金会发布Apache ManifoldCF存在LDAP注入漏洞预警，该漏洞允许远程用户在应用程序内操纵查询和提升权限。

Apache ManifoldCF 提供一个开源框架，用于连接源内容库，如：Microsoft Sharepoint、EMC Documentum 等，到目标库或索引，如 Apache Solr、Open Search Server 或 ElasticSearch 等。Apache ManifoldCF 也为目标库定义了一个安全模型允许执行源库的安全策略。

一、漏洞介绍

该漏洞允许远程用户在应用程序内操纵查询和提升权限。

ActiveDirectory 中 LDAP 查询（“LDAP 注入”）漏洞中使用的特殊元素的不当中和Apache ManifoldCF 的 Sharepoint ActiveDirectory 权限连接器允许攻击者操纵 LDAP在用户查找期间搜索查询（DoS、其他查询、过滤器操作），如果用户名或域字符串未经验证就传递给 UserACLs servlet。

二、危害影响

此问题会影响 Apache ManifoldCF 2.23 版和之前的版本。。

三、修复建议

从供应商的网站安装更新。

来源：

https://seclists.org/oss-sec/2022/q4/172

https://www.cybersecurity-help.cz/vdb/apache_foundation/manifoldcf/2.23/