CVE-2021-35473
CriticalSummary
W LemonLDAP::NG przed wersją 2.0.12 odkryto problem związany z brakiem weryfikacji daty ważności tokenów dostępu w obsłudze OAuth2.0. Atakujący może wykorzystać przestarzały token dostępu z klienta OIDC do uzyskania dostępu do obsługi OAuth2.
Risk Assessment
Brak weryfikacji ważności tokenów może prowadzić do nieautoryzowanego dostępu do zasobów, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację LemonLDAP::NG do wersji 2.0.12 lub nowszej, aby zapewnić odpowiednią weryfikację tokenów dostępu.
Original NVD description (English source)
An issue was discovered in LemonLDAP::NG before 2.0.12. There is a missing expiration check in the OAuth2.0 handler, i.e., it does not verify access token validity. An attacker can use a expired access token from an OIDC client to access the OAuth2 handler The earliest affected version is 2.0.4.

