CVE-2021-35473
KrytyczneStreszczenie
W LemonLDAP::NG przed wersją 2.0.12 odkryto problem związany z brakiem weryfikacji daty ważności tokenów dostępu w obsłudze OAuth2.0. Atakujący może wykorzystać przestarzały token dostępu z klienta OIDC do uzyskania dostępu do obsługi OAuth2.
Ocena ryzyka
Brak weryfikacji ważności tokenów może prowadzić do nieautoryzowanego dostępu do zasobów, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację LemonLDAP::NG do wersji 2.0.12 lub nowszej, aby zapewnić odpowiednią weryfikację tokenów dostępu.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in LemonLDAP::NG before 2.0.12. There is a missing expiration check in the OAuth2.0 handler, i.e., it does not verify access token validity. An attacker can use a expired access token from an OIDC client to access the OAuth2 handler The earliest affected version is 2.0.4.

