CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2021-35473

Critical
Published: Translated: NVD NIST

Summary

W LemonLDAP::NG przed wersją 2.0.12 odkryto problem związany z brakiem weryfikacji daty ważności tokenów dostępu w obsłudze OAuth2.0. Atakujący może wykorzystać przestarzały token dostępu z klienta OIDC do uzyskania dostępu do obsługi OAuth2.

Risk Assessment

Brak weryfikacji ważności tokenów może prowadzić do nieautoryzowanego dostępu do zasobów, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację LemonLDAP::NG do wersji 2.0.12 lub nowszej, aby zapewnić odpowiednią weryfikację tokenów dostępu.

Original NVD description (English source)

An issue was discovered in LemonLDAP::NG before 2.0.12. There is a missing expiration check in the OAuth2.0 handler, i.e., it does not verify access token validity. An attacker can use a expired access token from an OIDC client to access the OAuth2 handler The earliest affected version is 2.0.4.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS