Vulnerabilidad en la dirección XMPP pasada a la función is_admin() en los Módulos de Comunidad mod_auth_ldap y mod_auth_ldap2 para Prosody (CVE-2020-8086)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/01/2020
Última modificación:
04/02/2020
Descripción
Los Módulos de Comunidad mod_auth_ldap y mod_auth_ldap2 hasta el 27-01-2020 para Prosody, verifican de forma incompleta la dirección XMPP pasada a la función is_admin(). Esto otorga a las entidades remotas una funcionalidad admin-only si su nombre de usuario coincide con el nombre de usuario de un administrador local.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:prosody:mod_auth_ldap:*:*:*:*:*:*:*:* | 2020-01-27 (incluyendo) | |
| cpe:2.3:a:prosody:mod_auth_ldap2:*:*:*:*:*:*:*:* | 2020-01-27 (incluyendo) | |
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página