Vulnerabilidad en OpenText, Visual COBOL, COBOL Server, Enterprise Developer y Enterprise Server (CVE-2023-4501)

La autenticación de usuario con credenciales de nombre de usuario y contraseña no es efectiva en OpenText (Micro Focus), Visual COBOL, COBOL Server, Enterprise Developer y Enterprise Server (incluidas variantes de productos como Enterprise Test Server), versiones 7.0, actualizaciones de parches 19 y 20, actualizaciones de parches 8.0 8. y 9, y 9.0 update 1 del parche, cuando se utiliza la autenticación basada en LDAP con ciertas configuraciones. Cuando la vulnerabilidad está activa, la autenticación se realiza correctamente con cualquier nombre de usuario válido, independientemente de si la contraseña es correcta; también puede tener éxito con un nombre de usuario no válido (y cualquier contraseña). Esto permite que un atacante con acceso al producto se haga pasar por cualquier usuario. Mitigaciones: el problema se corrige en la próxima actualización del parche para cada producto afectado. Las superposiciones de productos y las instrucciones para solucionar el problema están disponibles a través del soporte de OpenText. Se cree que las configuraciones vulnerables son poco comunes. Los administradores pueden probar la vulnerabilidad en sus instalaciones intentando iniciar sesión en un componente de Visual COBOL o Enterprise Server como ESCWA utilizando un nombre de usuario válido y una contraseña incorrecta.