Vulnerabilidad en la API LDAP de Apache Directory (CVE-2018-1337)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

10/07/2018

Última modificación:

07/11/2023

Descripción

En la API LDAP de Apache Directory, en versiones anteriores a la 1.0.2, un error en la forma en la que el filtro SSL se configuraba hacía posible que otro hilo empleara la conexión antes de que se estableciera la capa TLS, si la conexión ya se había empleado y colocado de nuevo en un grupo de conexiones, lo que conduciría al filtrado de cualquier tipo de información contenida en esta petición (incluyendo las credenciales al enviar una petición BIND).

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno