Vulnerabilidad en system-user-dn en el método de autenticación LDAP en LdapLoginModule en Hazelcast IMDG Enterprise (CVE-2020-26168)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
09/11/2020
Última modificación:
18/11/2020
Descripción
El método de autenticación LDAP en LdapLoginModule en Hazelcast IMDG Enterprise versiones 4.x anteriores a 4.0.3, y Jet Enterprise versiones 4.x anteriores a 4.2, no comprueba apropiadamente la contraseña en algunos escenarios de system-user-dn. Como resultado, los usuarios (clients/members) pueden ser autenticados incluso si proporcionan contraseñas no válidas
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:enterprise:*:*:* | 4.0 (incluyendo) | 4.0.3 (excluyendo) |
| cpe:2.3:a:hazelcast:jet:*:*:*:*:enterprise:*:*:* | 4.0 (incluyendo) | 4.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docs.hazelcast.org/docs/ern/index.html#4-0-3
- https://hazelcast.zendesk.com/hc/en-us/articles/360050161951--IMDG-Enterprise-4-0-4-0-1-4-0-2-LDAP-Authentication-Bypass
- https://hazelcast.zendesk.com/hc/en-us/articles/360051384932--JET-Enterprise-4-0-4-1-4-1-1-4-2-LDAP-Authentication-Bypass
- https://jet-start.sh/blog/2020/10/23/jet-43-is-released