CVE-2024-10127
KrytyczneStreszczenie
Wersje serwera M-Files przed 24.11 mają lukę w autoryzacji LDAP, która pozwala na ominięcie uwierzytelniania. Umożliwia to użytkownikom logowanie się bez hasła, jeśli serwer LDAP jest skonfigurowany w sposób podatny.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do danych, co może prowadzić do poważnych naruszeń bezpieczeństwa. Brak hasła w procesie uwierzytelniania stwarza poważne zagrożenie dla integralności systemu.
Rekomendacja
Zaleca się aktualizację serwera M-Files do wersji 24.11 lub nowszej oraz przegląd konfiguracji serwera LDAP, aby upewnić się, że nie pozwala na uwierzytelnianie bez hasła.
Oryginalny opis (angielski, źródło NVD)
Authentication bypass condition in LDAP authentication in M-Files server versions before 24.11 supported usage of OpenLDAP configurations that allowed user authentication without a password when the LDAP server itself had the vulnerable configuration.

