Apache ManifoldCF-LDAP注入漏洞(CVE-2022-45910)漏洞预警(无CNNVD编号)
近日,博智安全观测到Apache基金会发布Apache ManifoldCF存在LDAP注入漏洞预警,该漏洞允许远程用户在应用程序内操纵查询和提升权限。
Apache ManifoldCF 提供一个开源框架,用于连接源内容库,如:Microsoft Sharepoint、EMC Documentum 等,到目标库或索引,如 Apache Solr、Open Search Server 或 ElasticSearch 等。Apache ManifoldCF 也为目标库定义了一个安全模型允许执行源库的安全策略。
一、漏洞介绍
该漏洞允许远程用户在应用程序内操纵查询和提升权限。
ActiveDirectory 中 LDAP 查询(“LDAP 注入”)漏洞中使用的特殊元素的不当中和Apache ManifoldCF 的 Sharepoint ActiveDirectory 权限连接器允许攻击者操纵 LDAP在用户查找期间搜索查询(DoS、其他查询、过滤器操作),如果用户名或域字符串未经验证就传递给 UserACLs servlet。
二、危害影响
此问题会影响 Apache ManifoldCF 2.23 版和之前的版本。。
三、修复建议
从供应商的网站安装更新。
来源:
https://seclists.org/oss-sec/2022/q4/172
https://www.cybersecurity-help.cz/vdb/apache_foundation/manifoldcf/2.23/
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论