Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en 389-ds-base (CVE-2022-1949)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/06/2022
Última modificación:
13/12/2024

Descripción

Una vulnerabilidad de omisión de control de acceso encontrada en 389-ds-base. Ese manejo inapropiado del filtro que daría resultados incorrectos, pero a medida que ha avanzado, puede determinarse que en realidad es una omisión de control de acceso. Esto puede permitir a cualquier usuario remoto no autenticado emitir un filtro que permita buscar elementos de la base de datos a los que no presenta acceso, incluyendo pero no limitándose a los hashes de userPassword y otros datos confidenciales

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:redhat:389_directory_server:*:*:*:*:*:*:*:* 1.3.0.0 (incluyendo) 2.0.0 (incluyendo)
cpe:2.3:a:redhat:directory_server:11.0:*:*:*:*:*:*:*
cpe:2.3:a:redhat:directory_server:12.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:*