Vulnerabilidad en dogtag-pki y pki-core (CVE-2023-4727)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/06/2024
Última modificación:
09/07/2024
Descripción
Se encontró una falla en dogtag-pki y pki-core. El esquema de autenticación de token se puede omitir con una inyección LDAP. Al pasar el parámetro de cadena de consulta sessionID=*, un atacante puede autenticarse con una sesión existente guardada en el servidor de directorio LDAP, lo que puede conducir a una escalada de privilegios.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:4051
- https://access.redhat.com/errata/RHSA-2024:4070
- https://access.redhat.com/errata/RHSA-2024:4164
- https://access.redhat.com/errata/RHSA-2024:4165
- https://access.redhat.com/errata/RHSA-2024:4179
- https://access.redhat.com/errata/RHSA-2024:4222
- https://access.redhat.com/errata/RHSA-2024:4367
- https://access.redhat.com/errata/RHSA-2024:4403
- https://access.redhat.com/errata/RHSA-2024:4413
- https://access.redhat.com/security/cve/CVE-2023-4727
- https://bugzilla.redhat.com/show_bug.cgi?id=2232218