CRITICAL✓ PATCH🇬🇧 English

CVE-2024-33868

LDAP injection w aplikacji Linqi przed wersją 1.4.0.1 (Windows)

CVSS 9.8v3.1pub. 2024-05-14upd. 2025-04-28

W aplikacji Linqi w wersjach przed 1.4.0.1 działających na systemie Windows wykryto podatność typu LDAP injection. Podatność ta umożliwia nieuwierzytelnionemu atakującemu zdalne manipulowanie zapytaniami LDAP, co może prowadzić do nieautoryzowanego dostępu do danych lub przejęcia kontroli nad systemem.

Pokaż oryginał (EN)

An issue was discovered in linqi before 1.4.0.1 on Windows. There is LDAP injection.

🤖 Analiza AI
Jak działa

LDAP injection (CWE-90) polega na tym, że dane wejściowe dostarczane przez użytkownika nie są odpowiednio filtrowane ani eskejpowane przed włączeniem ich do zapytań LDAP. Atakujący może spreparować złośliwe dane wejściowe, które zmodyfikują logikę zapytania LDAP wysyłanego przez aplikację do serwera katalogowego. W efekcie możliwe jest ominięcie mechanizmów uwierzytelniania, uzyskanie dostępu do nieautoryzowanych zasobów lub odczyt wrażliwych danych z katalogu LDAP. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w katalogu LDAP, ominąć mechanizmy uwierzytelniania oraz potencjalnie zmodyfikować dane lub naruszyć integralność i dostępność systemu (CVSS C:H/I:H/A:H).

Mitygacja

Należy zaktualizować aplikację Linqi do wersji 1.4.0.1 lub nowszej. Szczegółowe informacje o aktualizacji zabezpieczeń dostępne są w dokumentacji producenta pod adresem https://linqi.help/Updates/en#/SecurityUpdates.

Kogo dotyczy

Aplikacja Linqi w wersjach przed 1.4.0.1 działająca na systemie Microsoft Windows.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Linqi

    APP
    Linqi
    < 1.4.0.1
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit