Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la dirección XMPP pasada a la función is_admin() en los Módulos de Comunidad mod_auth_ldap y mod_auth_ldap2 para Prosody (CVE-2020-8086)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/01/2020
Última modificación:
04/02/2020

Descripción

Los Módulos de Comunidad mod_auth_ldap y mod_auth_ldap2 hasta el 27-01-2020 para Prosody, verifican de forma incompleta la dirección XMPP pasada a la función is_admin(). Esto otorga a las entidades remotas una funcionalidad admin-only si su nombre de usuario coincide con el nombre de usuario de un administrador local.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:prosody:mod_auth_ldap:*:*:*:*:*:*:*:* 2020-01-27 (incluyendo)
cpe:2.3:a:prosody:mod_auth_ldap2:*:*:*:*:*:*:*:* 2020-01-27 (incluyendo)
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*