CVE-2026-25560
CriticalSummary
W wersjach WeKan przed 8.19 występuje podatność na wstrzykiwanie filtrów LDAP w procesie uwierzytelniania LDAP. Wprowadzone przez użytkownika dane dotyczące nazwy użytkownika są włączane do filtrów wyszukiwania LDAP oraz wartości związanych z DN bez odpowiedniego zabezpieczenia, co umożliwia atakującemu manipulację zapytaniami LDAP podczas uwierzytelniania.
Risk Assessment
Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji. Atakujący może wykorzystać tę lukę do przeprowadzenia ataków na uwierzytelnianie użytkowników.
Recommendation
Zaleca się aktualizację WeKan do wersji 8.19 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń systemu uwierzytelniania LDAP.
Original NVD description (English source)
WeKan versions prior to 8.19 contain an LDAP filter injection vulnerability in LDAP authentication. User-supplied username input is incorporated into LDAP search filters and DN-related values without adequate escaping, allowing an attacker to manipulate LDAP queries during authentication.

