CVE-2024-10127
CriticalSummary
Wersje serwera M-Files przed 24.11 mają lukę w autoryzacji LDAP, która pozwala na ominięcie uwierzytelniania. Umożliwia to użytkownikom logowanie się bez hasła, jeśli serwer LDAP jest skonfigurowany w sposób podatny.
Risk Assessment
Organizacje mogą być narażone na nieautoryzowany dostęp do danych, co może prowadzić do poważnych naruszeń bezpieczeństwa. Brak hasła w procesie uwierzytelniania stwarza poważne zagrożenie dla integralności systemu.
Recommendation
Zaleca się aktualizację serwera M-Files do wersji 24.11 lub nowszej oraz przegląd konfiguracji serwera LDAP, aby upewnić się, że nie pozwala na uwierzytelnianie bez hasła.
Original NVD description (English source)
Authentication bypass condition in LDAP authentication in M-Files server versions before 24.11 supported usage of OpenLDAP configurations that allowed user authentication without a password when the LDAP server itself had the vulnerable configuration.

