Vulnerabilidad en una contraseña vacía en la autenticación LDAP en Alerta (CVE-2020-26214)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
06/11/2020
Última modificación:
17/11/2020
Descripción
En Alerta versiones anteriores a 8.1.0, los usuarios pueden ser capaces de omitir la autenticación LDAP si proporcionan una contraseña vacía cuando el servidor de Alerta está configurado para usar LDAP como proveedor de autorización. Solo están afectadas las implementaciones en las que los servidores LDAP están configurados para permitir un mecanismo de autenticación no autenticado para la autorización anónima. Una corrección ha sido implementada en la versión 8.1.0, que devuelve una respuesta HTTP 401 no autorizada para cualquier intento de autenticación donde el campo de contraseña está vacío. Como solución alternativa, los administradores de LDAP pueden rechazar las peticiones de vinculación no autenticadas de los clientes
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:alerta_project:alerta:*:*:*:*:*:*:*:* | 7.5.7 (excluyendo) | |
| cpe:2.3:a:alerta_project:alerta:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.1.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/alerta/alerta/commit/2bfa31779a4c9df2fa68fa4d0c5c909698c5ef65
- https://github.com/alerta/alerta/issues/1277
- https://github.com/alerta/alerta/pull/1345
- https://github.com/alerta/alerta/security/advisories/GHSA-5hmm-x8q8-w5jh
- https://pypi.org/project/alerta-server/8.1.0/
- https://tools.ietf.org/html/rfc4513#section-5.1.2