CVE-2026-25560
KrytyczneStreszczenie
W wersjach WeKan przed 8.19 występuje podatność na wstrzykiwanie filtrów LDAP w procesie uwierzytelniania LDAP. Wprowadzone przez użytkownika dane dotyczące nazwy użytkownika są włączane do filtrów wyszukiwania LDAP oraz wartości związanych z DN bez odpowiedniego zabezpieczenia, co umożliwia atakującemu manipulację zapytaniami LDAP podczas uwierzytelniania.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji. Atakujący może wykorzystać tę lukę do przeprowadzenia ataków na uwierzytelnianie użytkowników.
Rekomendacja
Zaleca się aktualizację WeKan do wersji 8.19 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń systemu uwierzytelniania LDAP.
Oryginalny opis (angielski, źródło NVD)
WeKan versions prior to 8.19 contain an LDAP filter injection vulnerability in LDAP authentication. User-supplied username input is incorporated into LDAP search filters and DN-related values without adequate escaping, allowing an attacker to manipulate LDAP queries during authentication.

